싱글사인온 설정 제어

제어 이름

싱글사인온(SSO) 구성 및 ID 아키텍처

권장 구성

기업 ID 공급자(IdP)를 사용하여 중앙 집중식 SSO를 활성화하고 강력한 인증 정책을 적용하거나 기존 인증 메커니즘을 피합니다.

제어 개요

싱글사인온은 사용자가 신뢰할 수 있는 IdP를 사용하여 Salesforce 및 통합 응용 프로그램에 액세스할 수 있도록 허용하여 인증을 중앙 집중화합니다. Salesforce는 서비스 공급자, ID 공급자 또는 둘 모두, 레거시 위임받은 인증 등 여러 SSO 모델을 지원합니다. 적절한 SSO 구성을 통해 일관된 ID 적용, 향상된 보안 조치, 자격 증명 위험을 줄일 수 있습니다.

구성되지 않은 경우 보안 위험

SSO가 올바르게 구성되지 않으면 인증이 분할되거나 레거시 컨트롤에 의존하여 자격 증명 도난, 약한 암호, 일관되지 않은 MFA 적용, Salesforce 및 연결된 시스템에 대한 무단 액세스에 대한 노출이 증가합니다.

위협 시나리오

피싱을 통해 사용되는 약한 로컬 암호, 애플리케이션 간 자격 증명 재사용, 의도치 않은 액세스를 허용하는 안전하지 않은 교차 조직 SAML Trust, 레거시 LDAP 자격 증명 가로채기.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

위험 심각도는 사용자 모집단 크기, 권한 수준, 조직의 인터넷 노출, 통합 시스템에서 사용되는 인증 메커니즘에 따라 다릅니다.

위험이 높은 경우

로컬 Salesforce 인증은 암호 표준이 약하거나 MFA가 적용되지 않거나 IdP 체인화가 과도하게 허용되거나 위임받은 인증이 레거시 LDAP에 의존합니다.

낮은 위험 시기

다음을 포함하여 하나 이상의 보상 제어가 구현될 경우 이 제어가 낮은 위험으로 간주될 수 있습니다.

• 엔터프라이즈 ID 공급자: Salesforce는 강력한 암호 정책 및 사용자 수명 주기 관리를 적용하는 중앙 집중화된 IdP와 통합되어 있습니다.
• 다단계 인증: MFA는 IdP에서 또는 Salesforce 높은 보증 인증 정책을 통해 적용됩니다.
• 최신 인증 표준: 레거시 위임받은 인증 대신 SAML 또는 OpenID Connect가 사용됩니다.
• 보안 ID 공급자 체인화: Cross-org SAML 및 Experience Cloud Trust 관계는 명시적으로 범위를 지정하고 문서화하며 정기적으로 검토됩니다.
• 레거시 인증 사용 중지: LDAP를 통한 위임받은 인증은 사용되지 않거나 추가 보호 기능으로 엄격하게 제어됩니다.

비즈니스 및 통합 고려 사항

SSO를 구현하거나 현대화할 때 고객은 사용자 환경, 통합 호환성, 파트너 액세스, 마이그레이션 계획을 고려해야 합니다. 레거시 시스템은 최신 ID 플랫폼으로 단계적으로 전환해야 할 수 있습니다.

권장 수정

신뢰할 수 있는 IdP를 사용하여 중앙 집중식 SSO를 구현하고, MFA 및 강력한 암호 정책을 적용하고, IdP 체인화를 검토 및 제한하고, 위임받은 인증에서 벗어나 마이그레이션하고, 정기적으로 인증 로그 및 액세스 패턴을 검토합니다.

보안 상태 검토 지침

보안 상태 검토에서는 고객이 인증을 강화하고, ID 관련 위험을 줄이고, Salesforce가 권장하는 보안 기준선 및 제로 Trust 원칙에 부합하는 데 도움이 되는 SSO 및 ID 아키텍처 제어가 강조 표시됩니다.