Configuración de inicio de sesión único

Nombre de control

Configuración de inicio de sesión único (SSO) y Arquitectura de identidad

Configuración recomendada

Active SSO centralizado utilizando un proveedor de identidad de empresa (IdP), aplique políticas de autenticación sólidas y evite mecanismos de autenticación heredados.

Descripción general de control

Inicio de sesión único centraliza la autenticación permitiendo a los usuarios acceder a Salesforce y aplicaciones integradas utilizando un IdP de confianza. Salesforce admite múltiples modelos de SSO, incluyendo actuar como Proveedor de servicio, Proveedor de identidad o ambos, y Autenticación delegada heredada. La configuración apropiada de SSO garantiza una aplicación coherente de la identidad, una postura de seguridad mejorada y un riesgo de credenciales reducido.

Riesgo de seguridad si no está configurado

Sin SSO configurado correctamente, la autenticación se basa en controles fragmentados o heredados, aumentando la exposición al robo de credenciales, contraseñas débiles, aplicación de MFA incoherente y acceso no autorizado a Salesforce y sistemas conectados.

Escenarios de amenazas

Contraseñas locales débiles explotadas a través de phishing, reutilización de credenciales entre aplicaciones, SAML Trust inseguro entre organizaciones que activa el acceso no intencionado, interceptación de credenciales LDAP heredadas.

Intervalo de puntuación de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones sobre el impacto del riesgo

La gravedad del riesgo depende del tamaño de la población de usuarios, los niveles de privilegios, la exposición de la organización a Internet y los mecanismos de autenticación utilizados entre sistemas integrados.

Riesgo más alto cuando

La autenticación local de Salesforce se utiliza con estándares de contraseña débiles, MFA no se aplica, el encadenamiento de IdP es excesivamente permisivo o Autenticación delegada se basa en LDAP heredado.

Bajo riesgo cuando

Este control puede considerarse de bajo riesgo cuando se implementan uno o más controles de compensación, incluyendo:

• Proveedor de identidad de empresa: Salesforce está integrado con un IdP centralizado que aplica políticas de contraseña sólidas y gestión del ciclo de vida del usuario.
• Autenticación de múltiples factores: MFA se aplica en el IdP o a través de políticas de autenticación de alta seguridad de Salesforce.
• Estándares de autenticación modernos: SAML u OpenID Connect se utilizan en vez de Autenticación delegada heredada.
• Cadena de proveedor de identidad segura: Las relaciones de confianza entre organizaciones de SAML y Experience Cloud Trust tienen un ámbito, documentación y revisión periódica explícitas.
• Retirada de autenticación heredada: La autenticación delegada a través de LDAP está desusada o estrictamente controlada con protecciones adicionales.

Consideraciones comerciales y de integración

Los clientes deben tener en cuenta la experiencia de usuario, la compatibilidad de integración, el acceso de socios y la planificación de migración al implementar o modernizar SSO. Los sistemas heredados pueden requerir la transición por fases a plataformas de identidad modernas.

Remediación recomendada

Implemente SSO centralizado utilizando un IdP de confianza, aplique políticas de MFA y contraseña sólidas, revise y restrinja el encadenamiento de IdP, migre fuera de Autenticación delegada y revise regularmente registros de autenticación y patrones de acceso.

Directrices de revisión del estado de seguridad

Security Health Review destaca los controles de arquitectura de identidad y SSO para ayudar los clientes a reforzar la autenticación, reducir el riesgo relacionado con la identidad y alinearse con las líneas base de seguridad recomendadas por Salesforce y los principios de Zero Trust.