单点登录设置

控件名称

单点登录 (SSO) 配置和身份架构

推荐配置

使用企业身份提供商 (IdP) 启用集中式 SSO，强制执行强身份验证策略，并避免原有身份验证机制。

控制概览

单点登录通过允许用户使用受信 IdP 访问 Salesforce 和集成应用程序来集中身份验证。Salesforce 支持多个 SSO 模型，包括充当服务提供商、身份提供商或两者，以及传统委派身份验证。正确的 SSO 配置可确保一致的身份实施、改善安全状况并降低凭据风险。

安全风险（如果未配置）

如果没有正确配置的 SSO，身份验证依赖于零散或传统的控制，增加了凭据被盗、密码薄弱、MFA 实施不一致以及对 Salesforce 和连接的系统的未授权访问的风险。

威胁场景

通过网络钓鱼、跨应用程序的凭据重用、不安全的跨组织 SAML Trust 支持意外访问、原有 LDAP 凭据拦截来利用本地密码的弱点。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于用户群体规模、权限级别、组织对互联网的暴露程度以及集成系统之间使用的身份验证机制。

高风险

本地 Salesforce 身份验证使用弱密码标准，MFA 未强制执行，IdP 链接过于宽松，或委派身份验证依赖原有 LDAP。

低风险

当实施一个或多个补偿控制时，这种控制可以被认为是低风险，包括：

• 企业身份提供商：Salesforce 与强制实施强密码策略和用户生命周期管理的集中 IdP 集成。
• 多重身份验证：MFA 在 IdP 或通过 Salesforce 高保证身份验证策略强制执行。
• 现代身份验证标准：使用 SAML 或 OpenID Connect，而不是原有委派身份验证。
• 安全身份提供商链接：跨组织 SAML 和 Experience Cloud Trust 关系被明确确定范围、记录并定期审查。
• 原有身份验证停用：通过 LDAP 进行的委派身份验证已弃用，或受到额外保护的严格控制。

业务和集成注意事项

在实施或现代化 SSO 时，客户应考虑用户体验、集成兼容性、合作伙伴访问权限和迁移计划。传统系统可能需要分阶段迁移到现代身份平台。

建议的补救措施

使用受信 IdP 实施集中 SSO，强制执行 MFA 和强密码策略，审查和限制 IdP 链接，迁移离开委派身份验证，并定期审查身份验证日志和访问模式。

安全健康审查指导

安全健康审查强调了 SSO 和身份架构控制，以帮助客户加强身份验证，降低身份相关风险，并与 Salesforce 推荐的安全基准和 Zero Trust 原则保持一致。