シングルサインオン設定の制御

コントロール名

シングルサインオン (SSO) 設定と ID アーキテクチャ

推奨設定

エンタープライズ ID プロバイダー (IdP) を使用した一元化された SSO を有効にし、強力な認証ポリシーを適用して、従来の認証メカニズムを回避します。

制御の概要

シングルサインオンでは、ユーザーが信頼済み IdP を使用して Salesforce および統合アプリケーションにアクセスできるようにすることで、認証を一元化します。Salesforce では、サービスプロバイダー、ID プロバイダー、またはその両方としての動作、従来の代理認証など、複数の SSO モデルがサポートされています。SSO を適切に設定することで、ID の一貫した適用、セキュリティ体制の改善、ログイン情報リスクの軽減を実現できます。

設定されていない場合のセキュリティリスク

SSO が適切に設定されていないと、認証が断片的な制御や従来の制御に依存し、ログイン情報の盗難、脆弱なパスワード、一貫性のない MFA 適用、Salesforce および接続システムへの不正アクセスにさらされる可能性が高くなります。

脅威のシナリオ

フィッシングによって悪用される脆弱なローカル パスワード、アプリケーション間でのログイン情報の再利用、意図しないアクセスを可能にする安全でない組織間SAML Trust、従来のLDAPログイン情報の傍受。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

リスクの重要度は、ユーザー母集団の規模、権限レベル、インターネットへの組織の公開状況、統合システム全体で使用される認証メカニズムによって異なります。

より高いリスク

ローカル Salesforce 認証が脆弱なパスワード標準で使用されている、MFA が適用されていない、IdP チェーンが過度に許可されている、代理認証が従来の LDAP に依存している。

低リスク

次のような 1 つ以上の補償制御が実装されている場合、この制御は低リスクとみなされます。

• エンタープライズ ID プロバイダー: Salesforce は、強力なパスワードポリシーとユーザーライフサイクル管理を適用する一元化された IdP と統合されています。
• 多要素認証: MFA は IdP で適用されるか、Salesforce 高保証認証ポリシーを介して適用されます。
• 最新の認証標準: 従来の代理認証の代わりに SAML または OpenID Connect が使用されます。
• セキュアなIDプロバイダー チェーン:組織間のSAMLとExperience Cloud Trustリレーションは、明示的に範囲設定され、文書化され、定期的にレビューされます。
• 従来の認証の廃止: LDAP を介した代理認証は廃止されるか、保護が強化されて厳格に制御されます。

ビジネスと統合に関する考慮事項

SSO を実装またはモダナイズするときは、ユーザーエクスペリエンス、インテグレーションの互換性、パートナーアクセス、移行計画を考慮する必要があります。レガシー システムでは、最新のIDプラットフォームへの段階的な移行が必要になる場合があります。

推奨される修復

信頼済み IdP を使用した一元化された SSO の実装、MFA および強力なパスワードポリシーの適用、IdP チェーンの確認と制限、代理認証からの移行、認証ログとアクセスパターンの定期的な確認を行います。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Reviewでは、お客様が認証を強化し、ID関連のリスクを軽減し、Salesforceが推奨するセキュリティ ベースラインとZero Trustの原則に準拠するのに役立つSSOとIDアーキテクチャの制御に重点が置かれています。