Вы находитесь здесь:
Единая регистрация для Salesforce Customer Identity
Это включает интегрированную проверку подлинности (SAML или OpenID Connect), позволяя клиентам использовать один надежный набор регистрационных данных от внешнего поставщика удостоверений (IdP) для доступа к нескольким сайтам Salesforce и интегрированным приложениям.
Управление именем
Единая регистрация (SSO) для Salesforce Customer Identity
Рекомендованная конфигурация
С помощью единого входа для Salesforce Customer Identity пользователи могут войти в несколько приложений посредством одного набора регистрационных данных.
Общие сведения о контроле
Это включает интегрированную проверку подлинности (SAML или OpenID Connect), позволяя клиентам использовать один надежный набор регистрационных данных из внешнего IdP для доступа к нескольким сайтам Salesforce и интегрированным приложениям.
Риск безопасности, если он не настроен
Пользователи вынуждены управлять уникальными паролями для каждого отдельного приложения, что приводит к плохой гигиене паролей (повторному использованию) и делает невозможным внедрение компанией единой единой политики MFA во всей цифровой экосистеме.
Сценарии угроз
Взломщик успешно выполняет атаку с регистрационными данными на более слабую организацию пользователя, не относящуюся к единой регистрации, и использует эти слитые регистрационные данные для получения доступа к порталу Salesforce, поскольку организация не была защищена централизованными средствами управления безопасностью основного IdP.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Без центральной ссылки проверки подлинности создается брешь в безопасности, когда отмена доступа в основной системе не деактивирует соответствующую организацию Salesforce, позволяя бывшим сотрудникам или партнерам сохранить несанкционированный доступ к конфиденциальным данным компании после ухода.
Повышенный риск при
«Пароль без срока действия» включен для локальных пользователей Salesforce или при отсутствии централизованного способа обнаружения аномалий входа на разных платформах.
Низкий риск при
если компания применяет MFA Salesforce и строгие политики сложности паролей для всех локальных организаций, чтобы компенсировать отсутствие централизованного поставщика удостоверений.
Рекомендации по бизнесу и интеграции
Требует интеграции с клиентскими IdP. Внедрение единого входа требует технического согласования логики инициализации «Точно в срок» (JIT), чтобы обеспечить корректное создание или обновление записей пользователей в Salesforce без ручного вмешательства во время первого входа.
Рекомендованное исправление
Перейдите в «Параметры единой регистрации» в настройках, создайте конфигурацию поставщика SAML или проверки подлинности и свяжите ее с параметрами входа и регистрации сайта, чтобы включить кнопку SSO.
Руководство по проверке состояния безопасности
Проверка состояния безопасности уделяет приоритетное внимание централизованному управлению удостоверениями. Единый вход для порталов позволяет применять проверки безопасности корпоративного уровня, например, MFA и условный доступ, к внешним пользователям, уменьшая трение управления паролями вручную.
