詳細情報:
サポートされる SSO シナリオ: ID プロバイダーとしての Salesforce (OpenID Connect または SAML)
Salesforce がダウンストリームアプリケーションに対してユーザーを認証するための中央 ID 機関として機能します。
コントロール名
アプリケーションの ID プロバイダーとしての Salesforce
制御の概要
Salesforce がダウンストリームアプリケーションに対してユーザーを認証するための中央 ID 機関として機能します。
説明
Salesforce は、SAML または OpenID Connect を使用して外部サービスプロバイダーまたは内部アプリケーションに対してユーザーを認証します。
推奨設定
MFA、高保証セッションポリシー、およびすべての証明書利用者に対する一貫した認証適用を使用して、Salesforce を ID プロバイダー (IdP) として設定します。
セキュリティへの影響
統合システム間で認証制御と MFA 適用の一貫性を確保します。
ビジネスへの影響
ID ガバナンスを改善し、断片化された認証モデルによるリスクを軽減します。
設定されていない場合のセキュリティリスク
認証の適用が一貫性がなく、ダウンストリームアプリケーション全体で MFA が欠落している。
脅威のシナリオ
接続アプリケーションへの不正アクセス、セッションの不正使用、ID 検証の不統一。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
影響は、Salesforce ID に依存するダウンストリームアプリケーションの数に応じて大きくなります。
より高いリスク
下流アプリケーションは個別に認証されるか、Salesforce ログインレイヤーで MFA が適用されません。
低リスク
Salesforce では、すべての証明書利用者に対して MFA とセッション保証を一貫して適用します。
ビジネスと統合に関する考慮事項
ハブアンドスポーク ID アーキテクチャと内部 SaaS エコシステムでよく使用されます。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、欠落している IdP 設定にフラグが付けられ、一貫性のない ID 伝達のリスクが強調表示されます。
影響を受けるユーザー
Salesforce ID を使用してサードパーティアプリケーションまたは内部アプリケーションにアクセスするユーザー。
