Impostazioni Single Sign-On

Nome controllo

Configurazione Single Sign-On (SSO) e architettura dell'identità

Configurazione consigliata

Abilitare SSO centralizzato utilizzando un provider di identità (IdP) aziendale, applicare policy di autenticazione avanzate ed evitare meccanismi di autenticazione legacy.

Panoramica sul controllo

Single Sign-On centralizza l'autenticazione consentendo agli utenti di accedere a Salesforce e alle applicazioni integrate utilizzando un IdP affidabile. Salesforce supporta più modelli SSO, tra cui la funzione di fornitore di servizi, provider di identità o entrambi, e l'autenticazione delegata legacy. Una configurazione SSO corretta garantisce un'applicazione coerente dell'identità, un comportamento di sicurezza migliore e una riduzione del rischio di credenziali.

Rischio per la sicurezza se non configurato

Senza un SSO configurato correttamente, l'autenticazione si basa su controlli frammentati o legacy, aumento dell'esposizione al furto di credenziali, password deboli, applicazione incoerente della MFA e accesso non autorizzato a Salesforce e ai sistemi connessi.

Scenari di minaccia

Password locali deboli sfruttate tramite phishing, riutilizzo delle credenziali nelle applicazioni, SAML Trust tra organizzazioni non sicuro che abilita l'accesso non intenzionale, intercettazione delle credenziali LDAP legacy.

Intervallo di punteggi CVSS stimato

Critico (9.0–10.0).

Considerazioni sull'impatto del rischio

La gravità del rischio dipende dalle dimensioni della popolazione degli utenti, dai livelli di privilegi, dall'esposizione dell'organizzazione a Internet e dai meccanismi di autenticazione utilizzati nei sistemi integrati.

Rischio maggiore quando

L'autenticazione Salesforce locale viene utilizzata con standard di password deboli, la MFA non viene applicata, il concatenamento IdP è eccessivamente permissivo o l'autenticazione delegata si basa su LDAP legacy.

Basso rischio quando

Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più controlli compensativi, tra cui:

• Provider di identità aziendale: Salesforce è integrato con un IdP centralizzato che impone policy rigorose sulle password e la gestione del ciclo di vita degli utenti.
• Autenticazione a più fattori: La MFA viene applicata all'IdP o tramite le policy di autenticazione High Assurance di Salesforce.
• Standard di autenticazione moderni: Viene utilizzato SAML o OpenID Connect al posto dell'autenticazione delegata legacy.
• Concatenamento provider di identità protetto: Le relazioni SAML tra organizzazioni ed Experience Cloud Trust sono esplicitamente limitate, documentate e riviste periodicamente.
• Ritiro autenticazione legacy: L'autenticazione delegata tramite LDAP è deprecata o strettamente controllata con protezioni aggiuntive.

Considerazioni su Business e integrazione

I clienti devono considerare l'esperienza utente, la compatibilità dell'integrazione, l'accesso ai partner e la pianificazione della migrazione quando implementano o modernizzano SSO. I sistemi legacy possono richiedere una transizione graduale alle moderne piattaforme di identità.

Rimedio consigliato

Implementare SSO centralizzato utilizzando un IdP affidabile, applicare policy MFA e password avanzate, rivedere e limitare il concatenamento degli IdP, migrare da Autenticazione delegata ed esaminare regolarmente i registri di autenticazione e gli schemi di accesso.

Guida all'esame dello stato della sicurezza

Security Health Review mette in evidenza i controlli SSO e dell'architettura dell'identità per aiutare i clienti a rafforzare l'autenticazione, ridurre i rischi correlati all'identità e allinearsi ai principi di base sulla sicurezza consigliati da Salesforce e Zero Trust.