위치:
Salesforce 고객 ID 컨트롤을 위한 싱글사인온
이렇게 하면 연합 인증(SAML 또는 OpenID Connect)을 활성화하여 고객이 외부 ID 공급자(IdP)의 신뢰할 수 있는 단일 자격 증명 집합을 사용하여 여러 Salesforce 사이트 및 통합 응용 프로그램에 액세스할 수 있습니다.
제어 이름
Salesforce 고객 ID용 싱글사인온(SSO)
권장 구성
Salesforce 고객 ID용 SSO를 사용하면 사용자가 하나의 자격 증명 집합을 사용하여 여러 응용 프로그램에 로그인할 수 있습니다.
제어 개요
이렇게 하면 연합 인증(SAML 또는 OpenID Connect)을 활성화하여 고객이 외부 IdP의 신뢰할 수 있는 단일 자격 증명 집합을 사용하여 여러 Salesforce 사이트 및 통합 응용 프로그램에 액세스할 수 있습니다.
구성되지 않은 경우 보안 위험
사용자는 모든 개별 응용 프로그램에 대해 고유한 암호를 관리해야 하므로 암호 위생(재사용)이 저하되고 회사에서 전체 디지털 에코시스템에 통합된 단일 MFA 정책을 적용할 수 없습니다.
위협 시나리오
공격자는 마스터 IdP의 중앙 집중식 보안 컨트롤에 의해 보호되지 않았으므로 사용자의 약한 비SSO 계정에 자격 증명 채우기 공격을 성공적으로 실행하고 해당 누출된 자격 증명을 사용하여 Salesforce 포털에 액세스합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
중앙 인증 링크가 없으면 기본 시스템에서 액세스를 취소하면 해당 Salesforce 계정을 비활성화하지 못하므로 이전 직원 또는 파트너가 떠난 후 민감한 회사 데이터에 대한 무단 액세스를 유지할 수 있습니다.
위험이 높은 경우
"암호 만료 안 됨"은 로컬 Salesforce 사용자 또는 회사에서 다양한 플랫폼에서 비정상적인 로그인 패턴을 감지할 수 있는 중앙 집중식 방법이 없는 경우에 활성화됩니다.
낮은 위험 시기
회사에서 중앙 집중식 ID 공급자 부족을 보상하기 위해 모든 로컬 계정에 Salesforce 기본 MFA 및 엄격한 암호 복잡성 정책을 적용하는 경우
비즈니스 및 통합 고려 사항
고객 대면 IdP와 통합해야 합니다. SSO를 구현하려면 "JIT(Just-in-Time)" 프로비저닝 논리에 대한 기술적 조정이 있어야만 사용자 레코드가 처음 로그인하는 동안 수동으로 개입하지 않고 Salesforce에서 올바르게 생성되거나 업데이트됩니다.
권장 수정
설정에서 싱글사인온 설정으로 이동하여 SAML 또는 인증 공급자 구성을 만들고 사이트의 로그인 및 등록 설정에 연결하여 SSO 버튼을 활성화합니다.
보안 상태 검토 지침
보안 상태 검토는 중앙 ID 관리의 우선 순위를 지정합니다. 포털용 SSO를 사용하면 수동 암호 관리의 마찰을 줄이고 외부 사용자에게 MFA 및 조건부 액세스와 같은 엔터프라이즈급 보안 검사를 적용할 수 있습니다.
