詳細情報:
Salesforce Customer Identity Control のシングルサインオン
これにより、統合認証 (SAML または OpenID Connect) が有効になり、顧客は外部 ID プロバイダー (IdP) の 1 つの信頼できるログイン情報セットを使用して複数の Salesforce サイトと統合アプリケーションにアクセスできます。
コントロール名
Salesforce Customer Identity のシングルサインオン (SSO)
推奨設定
Salesforce Customer Identity の SSO を使用すると、ユーザーは 1 つのログイン情報セットで複数のアプリケーションにログインできます。
制御の概要
これにより、統合認証 (SAML または OpenID Connect) が有効になり、顧客は外部 IdP の 1 つの信頼済みログイン情報セットを使用して複数の Salesforce サイトと統合アプリケーションにアクセスできます。
設定されていない場合のセキュリティリスク
ユーザーは個々のアプリケーションに固有のパスワードを管理せざるを得ず、パスワードの健全性 (再利用) が低下し、デジタルエコシステム全体で 1 つの統合 MFA ポリシーを適用できなくなります。
脅威のシナリオ
攻撃者は、ユーザーのより弱い非 SSO アカウントに対してクレデンシャルスタッフィング攻撃を実行し、そのアカウントがマスター IdP の一元的なセキュリティ制御によって保護されていなかったため、漏洩したログイン情報を使用して Salesforce ポータルに侵入します。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
中央認証リンクがない場合、メインシステムでアクセス権を取り消すと対応する Salesforce アカウントを無効にできず、退職後に元従業員またはパートナーが会社の機密データに不正アクセスし続けることができるというセキュリティギャップが生じます。
より高いリスク
[パスワードの有効期限なし] は、ローカル Salesforce ユーザーの場合、またはさまざまなプラットフォームで異常なログインパターンを検出する一元的な方法がない場合に有効になります。
低リスク
一元化された ID プロバイダーの欠如を補うために、会社がすべてのローカル取引先に Salesforce ネイティブ MFA と厳格なパスワードの複雑さポリシーを適用する場合。
ビジネスと統合に関する考慮事項
顧客対応 IdP との統合が必要です。SSO を実装するには、初回ログイン時に手動操作なしでユーザーレコードが Salesforce で正しく作成または更新されるように、ジャストインタイム (JIT) プロビジョニングロジックの技術調整が必要です。
推奨される修復
[設定] で [シングルサインオン設定] に移動し、SAML または認証プロバイダー設定を作成して、サイトの [ログイン & 登録] 設定にリンクし、[SSO] ボタンを有効にします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、ID の一元的な管理が優先されます。ポータルの SSO では、MFA や条件付きアクセスなどのエンタープライズクラスのセキュリティチェックを外部ユーザーに適用しながら、手動パスワード管理の手間を省くことができます。
