Olet tässä:
Kertakirjautumisen asetusten hallinta
Kertakirjautuminen keskittää todennuksen sallimalla käyttäjien käyttää Salesforcea ja integroituja sovelluksia luotetun henkilöllisyydentarjoajan avulla.
Ohjaimen nimi
Kertakirjautumisen (SSO) kokoonpano ja identiteettiarkkitehtuuri
Suositeltu kokoonpano
Ota käyttöön keskitetty kertakirjautuminen käyttämällä yrityksen henkilöllisyydentarjoajaa (IdP), noudata vahvoja todennuskäytäntöjä ja vältä vanhoja todennusmekanismeja.
Ohjauksen yleiskatsaus
Kertakirjautuminen keskittää todennuksen sallimalla käyttäjien käyttää Salesforcea ja integroidut sovellukset luotetulla henkilöllisyydentarjoajalla. Salesforce tukee useita SSO-kertakirjautumismalleja, mukaan lukien palveluntarjoajana, henkilöllisyydentarjoajana tai molempina, ja vanhaa valtuutettua todennusta. Oikea SSO-kokoonpano varmistaa yhdenmukaisen henkilöllisyyden noudattamisen, parannetun tietoturvan ja pienemmän tunnuksen riskin.
Tietoturvariski, jos ei määritetty
Jos SSO-kertakirjautumista ei ole määritetty oikein, todennus perustuu hajanaisiin tai vanhoihin ohjaimiin, mikä lisää tunnusten varastamisen, heikkojen salasanojen, epäjohdonmukaisen MFA-valvonnan ja Salesforcen ja yhdistettyjen järjestelmien valtuuttamattoman käytön riskiä.
Uhkien skenaariot
Haavoittuvat paikalliset salasanat, joita hyödynnetään tietojen kalastuksen kautta, tunnusten uudelleenkäyttö eri sovelluksissa, epäsuojattu organisaatioiden välinen SAML Trust, joka sallii tahattoman käytön, vanhojen LDAP-tunnusten kaappaus.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Riskien vakavuus riippuu käyttäjäjoukon koosta, käyttöoikeustasoista, organisaation Internet-yhteydestä ja integroiduissa järjestelmissä käytetyistä todennusmekanismeista.
Korkeampi riski, kun
Paikallista Salesforce-todennusta käytetään heikkojen salasanojen standardeilla, MFA-todennusta ei noudateta, henkilöllisyydentarjoajan ketjutus on liian sallittu tai valtuutettu todennus luottaa vanhaan LDAP-palveluun.
Matalan riskin milloin
Tätä ohjainta voidaan pitää vähäriskisenä, kun yksi tai useampi korvaava ohjaus on käytössä, mukaan lukien:
- Enterprise Identity -todentaja: Salesforce on integroitu keskitetyn henkilöllisyydentarjoajan kanssa, joka käyttää vahvoja salasanakäytäntöjä ja käyttäjien elinkaaren hallintaa.
- Monimenetelmäinen todennus: MFA noudatetaan henkilöllisyydentarjoajassa tai Salesforcen korkean vahvistuksen todennuskäytäntöjen kautta.
- Modernit todennusstandardit: SAML- tai OpenID Connectia käytetään vanhan valtuutetun todennuksen sijaan.
- Suojattu henkilöllisyydentarjoajan ketjutus: Organisaatioiden väliset SAML- ja Experience Cloud Trust -suhteet rajoitetaan, dokumentoidaan ja tarkastetaan säännöllisesti.
- Vanhan todennuksen poistaminen käytöstä: Delegoitu todennus LDAP:n kautta on vanhentunut tai sitä hallitaan tarkasti lisäsuojauksilla.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Asiakkaiden tulisi ottaa huomioon käyttäjäkokemus, integraation yhteensopivuus, kumppanien käyttöoikeudet ja siirron suunnittelu, kun he toteuttavat tai modernisoivat SSO-kertakirjautumista. Vanhat järjestelmät saattavat vaatia vaiheittaisen siirtymisen nykyaikaisiin identiteettialustoihin.
Suositeltu korjaus
Toteuta keskitetty kertakirjautuminen luotetun henkilöllisyydentarjoajan avulla, noudata MFA-todennusta ja vahvoja salasanakäytäntöjä, tarkasta ja rajoita henkilöllisyydentarjoajien ketjutusta, siirry pois valtuutetusta todennuksesta ja tarkasta todennuslokit ja käyttöoikeuskuviot säännöllisesti.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus korostaa SSO-kertakirjautumisen ja henkilöllisyyden arkkitehtuurin ohjaimet auttaakseen asiakkaita parantamaan todennusta, vähentämään henkilöllisyyden riskejä ja noudattamaan Salesforcen suosittelemia tietoturvan perustasoja ja Zero Trust -periaatteita.
