單一登入設定

控制名稱

單一登入 (SSO) 組態和身分結構

建議組態

使用企業身分提供者 (IdP) 啟用集中 SSO、強制執行強式驗證原則,並避免舊版驗證機制。

控制概觀

「單一登入」可讓使用者使用信任的 IdP 存取 Salesforce 和整合應用程式,藉此集中驗證。Salesforce 支援多個 SSO 模型,包括作為服務提供者、身分提供者或兩者,以及舊版委派驗證。適當的 SSO 組態可確保一致的身分強制執行、改善安全性狀況,並降低認證風險。

未設定安全性風險

若未正確設定 SSO,則驗證會依賴分片或舊版控制項,進而增加認證竊取、密碼弱度、不一致的 MFA 強制執行,以及 Salesforce 和連線系統未經授權的存取。

威脅情況

網路釣魚、跨應用程式重複使用認證、不安全的跨組織 SAML Trust 啟用非預期的存取權、傳統 LDAP 認證攔截。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險嚴重性取決於使用者族群大小、權限層級、組織對網際網路的曝光,以及整合系統之間使用的驗證機制。

風險愈高時機

本機 Salesforce 驗證搭配密碼標準較弱、未強制執行 MFA、IdP 鏈結過度允許性,或委派驗證依賴舊版 LDAP。

低度風險時機

實作一或多個補償控制,包括:

• 企業身分提供者:Salesforce 已與強制執行強式密碼原則和使用者生命週期管理的集中化 IdP 整合。
• 多因素驗證:MFA 會在 IdP 或透過 Salesforce 高保證驗證原則強制執行。
• 現代驗證標準:系統會使用 SAML 或 OpenID Connect,而非舊版委派驗證。
• 保護身分提供者鏈結:跨組織 SAML 和 Experience Cloud Trust 關係會明確定義範圍、記錄並定期檢閱。
• 舊版驗證淘汰:「透過 LDAP 委派驗證」已遭取代或透過額外的保護嚴格控制。

業務與整合考量事項

實作或現代化 SSO 時,客戶應考量使用者體驗、整合相容性、合作夥伴存取權和移轉計畫。舊版系統可能需要階段轉換至現代身分平台。

建議的補救措施

使用信任的 IdP 實作集中 SSO、強制執行 MFA 和強式密碼原則、檢閱和限制 IdP 鏈結、移轉至「委派驗證」之外,並定期檢閱驗證記錄和存取模式。

安全性健康檢閱指南

Security Health Review 會醒目提示 SSO 和身分結構控制項,以協助客戶增強驗證、降低身分相關風險,並符合 Salesforce 建議的安全性基準和 Zero Trust 原則。