您在此处:
Salesforce 客户身份的单点登录
这将启用聚合身份验证(SAML 或 OpenID Connect),允许客户使用来自外部身份提供商 (IdP) 的单一可信凭据集来访问多个 Salesforce 站点和集成应用程序。
控件名称
Salesforce 客户身份的单点登录 (SSO)
推荐配置
通过 Salesforce 客户身份的 SSO,用户可以使用一组凭据登录多个应用程序。
控制概览
这将启用聚合身份验证(SAML 或 OpenID Connect),允许客户使用来自外部 IdP 的单一可信凭据集来访问多个 Salesforce 站点和集成应用程序。
安全风险(如果未配置)
用户被迫管理每个单独应用程序的唯一密码,导致密码卫生性差(重复使用),并使公司无法在整个数字生态系统中强制执行单一、统一的 MFA 策略。
威胁场景
攻击者成功对用户较弱的非 SSO 帐户进行凭据填充攻击,并使用这些泄露的凭据获得 Salesforce 入口网站的访问权限,因为该帐户不受主 IdP 的集中安全控制的保护。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
如果没有中央身份验证链接,就会产生一个安全漏洞,即撤销主系统中的访问权限无法停用相应的 Salesforce 帐户,从而允许前员工或合作伙伴在离开后保留对敏感公司数据的未经授权的访问。
高风险
“密码永不过期”为本地 Salesforce 用户启用,或者当公司缺乏检测不同平台之间异常登录模式的集中方式时启用。
低风险
如果公司对所有本地客户强制执行 Salesforce 本地 MFA 和严格的密码复杂性策略,以弥补集中身份提供商的不足。
业务和集成注意事项
需要与面向客户的 IdP 集成。实施 SSO 需要在“即时”(JIT)配置逻辑上实现技术协调,以确保在 Salesforce 中正确创建或更新用户记录,而无需在首次登录期间进行手动干预。
建议的补救措施
导航到“设置”中的单点登录设置,创建 SAML 或身份验证提供商配置,并将其链接到站点的登录和注册设置,以启用 SSO 按钮。
安全健康审查指导
安全健康审查优先考虑集中身份管理。入口网站的 SSO 允许您对外部用户应用企业级安全检查,例如 MFA 和条件访问,同时减少手动密码管理的摩擦。
