Вы находитесь здесь:
Параметры единой регистрации
Единая регистрация централизует проверку подлинности, разрешая пользователям доступ к Salesforce и интегрированным приложениям посредством надежного поставщика удостоверений.
Управление именем
Конфигурация единой регистрации и архитектура удостоверений
Рекомендованная конфигурация
Включите централизованный единый вход посредством поставщика удостоверений предприятия (IdP), примените надежные политики проверки подлинности и избегайте устаревших механизмов проверки подлинности.
Общие сведения о контроле
Единая регистрация централизует проверку подлинности, разрешая пользователям доступ к Salesforce и интегрированным приложениям посредством надежного IdP. Salesforce поддерживает несколько моделей единого входа, включительно с выполнением функций поставщика услуг, поставщика удостоверений или и того, и другого, а также устаревшую делегированную проверку подлинности. Правильная конфигурация единого входа обеспечивает последовательное обеспечение подлинности, улучшение состояния безопасности и уменьшение риска регистрационных данных.
Риск безопасности, если он не настроен
Без правильно настроенного единого входа проверка подлинности зависит от фрагментированных или устаревших элементов управления, повышая подверженность воровству регистрационных данных, слабых паролей, непоследовательного внедрения MFA и несанкционированного доступа к Salesforce и подключенным системам.
Сценарии угроз
Слабые локальные пароли, используемые посредством фишинга, повторного использования регистрационных данных в приложениях, небезопасный межорганизационный SAML Trust, предоставляющий непреднамеренный доступ, устаревший перехват регистрационных данных LDAP.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Тяжесть риска зависит от численности пользователей, уровней привилегий, доступа организации к Интернету и механизмов проверки подлинности, используемых в интегрированных системах.
Повышенный риск при
Локальная проверка подлинности Salesforce используется со слабыми стандартами паролей, MFA не применяется, цепочка IdP слишком гибкая или делегированная проверка подлинности зависит от устаревшего LDAP.
Низкий риск при
Этот элемент управления можно считать малорисковым при внедрении одного или нескольких компенсирующих элементов управления, включая:
- Поставщик Enterprise Identity: Salesforce интегрирован с централизованным IdP, внедряющим надежные политики паролей и управление жизненным циклом пользователя.
- Многофакторная проверка подлинности: MFA внедряется в IdP или посредством политик высоконадежной проверки подлинности Salesforce.
- Современные стандарты проверки подлинности: SAML или OpenID Connect используется вместо устаревшей делегированной проверки подлинности.
- Цепочка безопасного поставщика удостоверений: Взаимосвязи Cross-org SAML и Experience Cloud Trust явно охватываются, документируются и периодически проверяются.
- Устаревший вывод из эксплуатации проверки подлинности: Делегированная проверка подлинности посредством LDAP не рекомендуется или жестко контролируется с помощью дополнительных средств защиты.
Рекомендации по бизнесу и интеграции
Клиенты должны учитывать взаимодействие пользователя, совместимость интеграции, доступ партнеров и планирование миграции при внедрении или модернизации единого входа. Устаревшие системы могут требовать поэтапного перехода на современные платформы удостоверений.
Рекомендованное исправление
Внедрите централизованное SSO посредством надежного IdP, внедрите политики MFA и надежных паролей, просмотрите и ограничьте цепочки IdP, перейдите от делегированной проверки подлинности и регулярно проверяйте журналы проверки подлинности и схемы доступа.
Руководство по проверке состояния безопасности
Обзор состояния безопасности выделяет единый вход и средства управления архитектурой удостоверений, чтобы помочь клиентам укрепить проверку подлинности, уменьшить риск, связанный с удостоверением, и привести их в соответствие с рекомендованными Salesforce базисами безопасности и принципами Zero Trust.
