U bent hier:
Single Sign-On voor Salesforce Customer Identity
Hierdoor wordt gebundelde authenticatie (SAML of OpenID Connect) ingeschakeld, waardoor klanten één vertrouwde set inloggegevens van een externe identiteitsleverancier (IdP) kunnen gebruiken voor toegang tot meerdere Salesforce-sites en geïntegreerde toepassingen.
Controlenaam
Single Sign-On (SSO) voor Salesforce Customer Identity
Aanbevolen configuratie
Met SSO voor Salesforce Customer Identity kunnen gebruikers inloggen bij meerdere toepassingen met één set inloggegevens.
Overzicht van besturingselementen
Hierdoor wordt gebundelde authenticatie (SAML of OpenID Connect) ingeschakeld, waardoor klanten één vertrouwde set inloggegevens van een externe IdP kunnen gebruiken voor toegang tot meerdere Salesforce-sites en geïntegreerde toepassingen.
Beveiligingsrisico indien niet geconfigureerd
Gebruikers worden gedwongen om unieke wachtwoorden te beheren voor elke afzonderlijke toepassing, wat leidt tot slechte wachtwoordhygiëne (hergebruik) en het onmogelijk maakt voor het bedrijf om één uniform MFA-beleid voor het hele digitale ecosysteem af te dwingen.
Dreigingsscenario's
Een aanvaller voert met succes een credential-stuffing-aanval uit op de zwakkere, niet-SSO-account van een gebruiker en gebruikt die gelekte inloggegevens om toegang te krijgen tot de Salesforce-portal, omdat de account niet werd beschermd door de gecentraliseerde beveiligingselementen van een hoofd-IDP.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Zonder een centrale authenticatiekoppeling ontstaat er een beveiligingshiaat waarbij het intrekken van toegang in uw hoofdsysteem de corresponderende Salesforce-account niet deactiveert, waardoor voormalige werknemers of partners na hun vertrek ongeoorloofde toegang tot gevoelige bedrijfsgegevens kunnen behouden.
Hoger risico wanneer
"Password Never Expires" is ingeschakeld voor lokale Salesforce-gebruikers of wanneer het bedrijf geen gecentraliseerde manier heeft om abnormale inlogpatronen op verschillende platforms te detecteren.
Laag risico wanneer
als het bedrijf Salesforce-native MFA en strikte beleidsvormen voor wachtwoordcomplexiteit afdwingt voor alle lokale accounts om het ontbreken van een gecentraliseerde identiteitsleverancier te compenseren.
Overwegingen bij bedrijf en integratie
Vereist integratie met klantgerichte IdP's. Het implementeren van SSO vereist technische uitlijning van JIT-leveringslogica (Just-in-Time) om ervoor te zorgen dat gebruikersrecords correct worden gemaakt of bijgewerkt in Salesforce zonder handmatige tussenkomst tijdens de eerste keer inloggen.
Aanbevolen oplossing
Navigeer naar Instellingen voor Single Sign-On in Set-up, maak een SAML- of Auth.-leveranciersconfiguratie en koppel deze aan de instellingen voor Inloggen en registratie van uw site om de SSO-knop in te schakelen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand geeft prioriteit aan centraal identiteitsbeheer. Met SSO voor portals kunt u beveiligingscontroles op ondernemingsniveau, zoals MFA en voorwaardelijke toegang, toepassen op uw externe gebruikers en tegelijkertijd de wrijving van handmatig wachtwoordbeheer verminderen.
