您位於此處:
Salesforce Customer Identity 的單一登入
這會啟用聯合驗證 (SAML 或 OpenID Connect),讓客戶可以使用來自外部身分提供者 (IdP) 的單一信任認證集來存取多個 Salesforce 網站和整合的應用程式。
控制名稱
Salesforce Customer Identity 的單一登入 (SSO)
建議組態
透過 Salesforce Customer Identity 的 SSO,使用者可以使用一組認證來登入多個應用程式。
控制概觀
這會啟用聯合驗證 (SAML 或 OpenID Connect),讓客戶可以使用來自外部 IdP 的單一信任認證集來存取多個 Salesforce 網站和整合的應用程式。
未設定安全性風險
使用者必須為每個個別應用程式管理唯一密碼,進而導致密碼衛生不佳 (重複使用),並使公司無法在整個數位生態系統中強制執行單一統一的 MFA 原則。
威脅情況
攻擊者成功對使用者較弱且非 SSO 帳戶執行認證充滿攻擊,並使用這些洩漏的認證來取得 Salesforce 入口網頁的存取權,因為該帳戶未受到主要 IdP 的集中安全性控制。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
若沒有集中驗證連結,則會產生安全性缺口,其中撤銷主要系統中的存取權無法停用對應的 Salesforce 帳戶,讓前員工或合作夥伴在離開後保留對敏感公司資料的未經授權存取權。
風險愈高時機
針對本機 Salesforce 使用者或當公司缺少集中偵測不同平台異常登入模式的方式時,會啟用「密碼永不到期」。
低度風險時機
如果公司針對所有本機帳戶強制執行 Salesforce 原生 MFA 和嚴格的密碼複雜性原則,以補償缺少集中身分提供者的情況。
業務與整合考量事項
需要與面向客戶的 IdP 整合。實作 SSO 需要對「及時 (JIT)」佈建邏輯進行技術對齊,以確保使用者記錄在 Salesforce 中正確建立或更新,而不會在第一次登入期間手動介入。
建議的補救措施
瀏覽至「設定」中的「單一登入設定」,建立 SAML 或驗證提供者組態,並將其連結至您網站的「登入與註冊」設定以啟用 SSO 按鈕。
安全性健康檢閱指南
「安全健康檢閱」會排定中心身分管理的優先順序。入口網頁的 SSO 可讓您將企業級安全性檢查 (例如 MFA 和條件式存取) 套用至外部使用者,同時減少手動密碼管理的摩擦。
