Configuración de inicio de sesión único

Nombre de control

Configuración de Inicio de sesión único (SSO) y Arquitectura de identidad

Configuración recomendada

Active el SSO centralizado utilizando un proveedor de identidad de compañía (IdP), aplique políticas de autenticación sólidas y evite mecanismos de autenticación heredados.

Descripción general de control

Inicio de sesión único centraliza la autenticación permitiendo a los usuarios acceder a Salesforce y aplicaciones integradas utilizando un IdP de confianza. Salesforce admite múltiples modelos de SSO, incluyendo actuar como Proveedor de servicio, Proveedor de identidad o ambos, y Autenticación delegada heredada. La configuración apropiada de SSO garantiza una aplicación coherente de la identidad, una postura de seguridad mejorada y un riesgo de credenciales reducido.

Riesgo de seguridad si no está configurado

Sin un SSO configurado correctamente, la autenticación depende de controles fragmentados o heredados, lo que aumenta la exposición al robo de credenciales, contraseñas débiles, aplicación incoherente de MFA y acceso no autorizado a Salesforce y sistemas conectados.

Escenarios de amenazas

Contraseñas locales débiles explotadas a través de phishing, reutilización de credenciales entre aplicaciones, Trust insegura entre organizaciones de SAML activando acceso no intencionado, interceptación de credenciales LDAP heredadas.

Intervalo de puntuaje de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones de impacto de riesgo

La gravedad del riesgo depende del tamaño de la población de usuarios, los niveles de privilegios, la exposición de la organización a Internet y los mecanismos de autenticación utilizados entre sistemas integrados.

Mayor riesgo cuando

La autenticación local de Salesforce se utiliza con estándares de contraseña débiles, MFA no se aplica, el encadenamiento de IdP es excesivamente permisivo o Autenticación delegada se basa en LDAP heredado.

Bajo riesgo cuando

Este control puede considerarse de bajo riesgo cuando se implementan uno o más controles de compensación, incluyendo:

• Proveedor de identidad de compañía: Salesforce está integrado con un IdP centralizado que aplica políticas de contraseña sólidas y gestión del ciclo de vida de los usuarios.
• Autenticación de múltiples factores: MFA se aplica en el IdP o a través de políticas de autenticación de alta seguridad de Salesforce.
• Estándares de autenticación modernos: Se utiliza SAML u OpenID Connect en vez de Autenticación delegada heredada.
• Encadenamiento de proveedor de identidad seguro: Las relaciones de Trust entre organizaciones de SAML y Experience Cloud tienen un ámbito, documentación y revisión periódica explícitas.
• Retirada de autenticación heredada: La Autenticación delegada a través de LDAP está desusada o estrictamente controlada con protecciones adicionales.

Consideraciones de negocio e integración

Los clientes deben tener en cuenta la experiencia del usuario, la compatibilidad de la integración, el acceso de socios y la planificación de la migración al implementar o modernizar SSO. Los sistemas heredados pueden requerir la transición por fases a plataformas de identidad modernas.

Remediación recomendada

Implemente SSO centralizado utilizando un IdP de confianza, aplique políticas de MFA y contraseña sólidas, revise y restrinja el encadenamiento de IdP, migre fuera de Autenticación delegada y revise regularmente registros de autenticación y patrones de acceso.

Directrices de revisión del estado de seguridad

Security Health Review destaca los controles de arquitectura de identidad y SSO para ayudar a los clientes a reforzar la autenticación, reducir el riesgo relacionado con la identidad y alinearse con las líneas base de seguridad recomendadas por Salesforce y los principios de Zero Trust.