詳細情報:
サポートされる SSO シナリオ: サービスプロバイダーとしての Salesforce (証明書利用者)
ユーザーが外部エンタープライズ ID プロバイダー (IdP) を使用して Salesforce に対して認証を行い、認証とアクセス制御を一元化できるようにします。
コントロール名
Salesforce 組織アクセスのシングルサインオン (サービスプロバイダーとしての Salesforce)
制御の概要
ユーザーが外部エンタープライズ IdP を使用して Salesforce に対して認証を行い、認証とアクセス制御を一元化できるようにします。
説明
ユーザーは、Okta、Azure AD、Ping、またはその他の SAML/OpenID Connect 準拠プロバイダーなどの外部 IdP で管理されるログイン情報を使用して Salesforce にログインします。
推奨設定
MFA が有効で、12 文字以上のパスワード標準があり、条件付きアクセスポリシーが適用されているすべてのユーザーに SSO を適用します (該当する場合)。
セキュリティへの影響
ローカルログイン情報への依存を排除することで、ログイン情報の盗難、フィッシングの成功、不正アクセスを減らします。
ビジネスへの影響
コンプライアンスの整合を改善し、セキュリティインシデントを減らし、ワークフォースアクセスに関するガバナンスを強化します。
設定されていない場合のセキュリティリスク
パスワードポリシーが弱いローカル認証では、特に特権ユーザーに対してアカウント乗っ取りの可能性が高まります。
脅威のシナリオ
クレデンシャルスタッフィング、フィッシングベースのアカウントの乗っ取り、侵害された管理者ログイン情報の悪用。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
多くの管理者、API ユーザー、または機密ビジネスプロセスへのアクセス権を持つ組織では、リスクが高まります。
より高いリスク
MFA が適用されていないか、直接ログインが許可されているか、ユーザーが未管理デバイスから Salesforce にアクセスしている。
低リスク
MFA を使用した SSO、IP 制限、Device Trust、およびセッション保証ポリシーが適用されます。
ビジネスと統合に関する考慮事項
IAM チームとの調整が必要です。Salesforce では、SAML と OpenID Connect のインテグレーションがネイティブでサポートされています。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review (セキュリティ状態レビュー) では、欠落している SSO 適用や弱い SSO 適用を特定し、ワークフォースと特権アクセス権の修復に優先順位を付けます。
影響を受けるユーザー
Salesforce に直接アクセスする内部従業員、管理者、開発者、ワークフォースユーザー。
