Você está aqui:
Controle de configurações de Single Sign On
O Single Sign On centraliza a autenticação permitindo que os usuários acessem o Salesforce e aplicativos integrados usando um provedor de identidade confiável.
Nome do controle
Configuração de Single Sign On (SSO) e arquitetura de identidade
Configuração recomendada
Habilite o SSO centralizado usando um provedor de identidade corporativo (IdP), aplique políticas de autenticação forte e evite mecanismos de autenticação legados.
Visão geral de controle
O Single Sign On centraliza a autenticação permitindo que os usuários acessem o Salesforce e aplicativos integrados usando um IdP confiável. O Salesforce oferece suporte a vários modelos de SSO, incluindo atuar como provedor de serviços, provedor de identidade ou ambos, e autenticação delegada legada. A configuração de SSO adequada garante uma imposição de identidade consistente, uma postura de segurança aprimorada e um risco de credencial reduzido.
Risco de segurança, se não configurado
Sem SSO configurado adequadamente, a autenticação depende de controles fragmentados ou legados, aumentando a exposição ao roubo de credenciais, senhas fracas, imposição inconsistente de MFA e acesso não autorizado ao Salesforce e sistemas conectados.
Cenários de ameaça
Senhas locais fracas exploradas por meio de phishing, reutilização de credenciais entre aplicativos, SAML Trust entre organizações inseguro que permite acesso inadvertido, interceptação de credenciais LDAP legadas.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
A gravidade do risco depende do tamanho da população de usuários, dos níveis de privilégio, da exposição da organização à Internet e dos mecanismos de autenticação usados nos sistemas integrados.
Risco maior quando
A autenticação local do Salesforce é usada com padrões de senha fracos, a MFA não é imposta, o encadeamento do IdP é excessivamente permissivo ou a autenticação delegada depende do LDAP legado.
Baixo risco quando
Esse controle pode ser considerado de baixo risco quando um ou mais controles de compensação são implementados, incluindo:
- Provedor de identidade corporativa: O Salesforce é integrado a um IdP centralizado que impõe políticas de senha forte e gerenciamento de ciclo de vida do usuário.
- Autenticação multifator: A MFA é imposta no IdP ou por meio de políticas de autenticação de alta garantia do Salesforce.
- Padrões de autenticação modernos: SAML ou OpenID Connect é usado em vez da Autenticação delegada legada.
- Cadeamento seguro do provedor de identidade: Os relacionamentos de SAML entre organizações e Trust do Experience Cloud são explicitamente delimitados, documentados e revisados periodicamente.
- Descontinuação da autenticação legada: A Autenticação delegada por LDAP foi descontinuada ou está altamente controlada com proteções adicionais.
Considerações de negócios e integração
Os clientes devem considerar a experiência do usuário, a compatibilidade de integração, o acesso do parceiro e o planejamento de migração ao implementar ou modernizar o SSO. Os sistemas legados podem exigir uma transição em fases para plataformas de identidade modernas.
Remediação recomendada
Implemente o SSO centralizado usando um IdP confiável, aplique políticas de MFA e senha forte, revise e restrinja o encadeamento de IdP, migre para a Autenticação delegada e revise regularmente os registros de autenticação e os padrões de acesso.
Diretriz de revisão de saúde de segurança
A Análise de integridade da segurança destaca os controles de SSO e de arquitetura de identidade para ajudar os clientes a reforçar a autenticação, reduzir o risco relacionado à identidade e estar de acordo com as linhas de base de segurança recomendadas pela Salesforce e os princípios Zero Trust.
