U bent hier:
Instellingen voor Single Sign-On
Single Sign-On centraliseert authenticatie door gebruikers toegang te geven tot Salesforce en geïntegreerde toepassingen met behulp van een vertrouwde identiteitsleverancier.
Controlenaam
SSO-configuratie en identiteitsarchitectuur (Single Sign-On)
Aanbevolen configuratie
Schakel gecentraliseerde SSO in met behulp van een Enterprise Identity Provider (IdP), dwing een sterk authenticatiebeleid af en vermijd verouderde authenticatiemechanismen.
Overzicht van besturingselementen
Single Sign-On centraliseert authenticatie door gebruikers toegang te geven tot Salesforce en geïntegreerde toepassingen met behulp van een vertrouwde IdP. Salesforce ondersteunt meerdere SSO-modellen, waaronder optreden als serviceprovider, identiteitsleverancier of beide, en oudere gedelegeerde verificatie. De juiste SSO-configuratie zorgt voor consistente identiteitsafdwinging, verbeterde beveiligingspositie en minder risico op inloggegevens.
Beveiligingsrisico indien niet geconfigureerd
Zonder goed geconfigureerde SSO berust authenticatie op gefragmenteerde of verouderde besturingselementen, waardoor de blootstelling aan diefstal van inloggegevens, zwakke wachtwoorden, inconsistente MFA-afdwinging en ongeoorloofde toegang tot Salesforce en verbonden systemen toeneemt.
Dreigingsscenario's
Zwakke lokale wachtwoorden die worden misbruikt door phishing, hergebruik van inloggegevens binnen toepassingen, onveilige inter-organisatorische SAML Trust die onbedoelde toegang mogelijk maakt, onderschepping van verouderde LDAP-inloggegevens.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
De ernst van het risico is afhankelijk van de grootte van de gebruikerspopulatie, de machtigingsniveaus, de blootstelling van de organisatie aan het internet en de authenticatiemechanismen die in geïntegreerde systemen worden gebruikt.
Hoger risico wanneer
Lokale Salesforce-authenticatie wordt gebruikt met zwakke wachtwoordstandaarden, MFA wordt niet afgedwongen, IdP-ketening is te toegestaan of Gedelegeerde verificatie is gebaseerd op verouderde LDAP.
Laag risico wanneer
Deze controle kan als laag risico worden beschouwd wanneer een of meer compenserende controles worden geïmplementeerd, waaronder:
- Enterprise Identity-leverancier: Salesforce is geïntegreerd met een gecentraliseerde IdP die sterk wachtwoordbeleid en levenscyclusbeheer voor gebruikers afdwingt.
- Multi-factorenauthenticatie: MFA wordt afgedwongen op de IdP of via Salesforce-authenticatiebeleidsvormen met grote zekerheid.
- Moderne authenticatiestandaarden: SAML of OpenID Connect wordt gebruikt in plaats van verouderde gedelegeerde verificatie.
- Veilige identiteitsleveranciersketen: SAML- en Experience Cloud Trust relaties tussen organisaties worden expliciet behandeld, gedocumenteerd en periodiek beoordeeld.
- Verouderde verificatie intrekken: Gedelegeerde verificatie via LDAP wordt afgeschaft of strikt gecontroleerd met extra beveiliging.
Overwegingen bij bedrijf en integratie
Klanten moeten rekening houden met gebruikerservaring, integratiecompatibiliteit, partnertoegang en migratieplanning bij het implementeren of moderniseren van SSO. Verouderde systemen vereisen mogelijk een gefaseerde overstap naar moderne identiteitsplatforms.
Aanbevolen oplossing
Implementeer gecentraliseerde SSO met behulp van een vertrouwd IdP, dwing MFA en sterk wachtwoordbeleid af, beoordeel en beperk IdP-ketens, migreer weg van Gedelegeerde verificatie en controleer regelmatig authenticatielogboeken en toegangspatronen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand benadrukt SSO- en identiteitsarchitectuurbesturingselementen om klanten te helpen authenticatie te versterken, identiteitsgerelateerde risico's te verminderen en te voldoen aan door Salesforce aanbevolen beveiligingsbaselines en Zero Trust principes.
