您在此处:
支持的 SSO 场景:Salesforce 作为服务提供商(依赖方)
使用户能够通过外部企业身份提供商 (IdP) 向 Salesforce 进行身份验证,集中身份验证和访问控制。
控件名称
Salesforce 组织访问权限的单点登录(Salesforce 作为服务提供商)
控制概览
使用户能够使用外部企业 IdP 向 Salesforce 进行身份验证,集中身份验证和访问控制。
描述
用户使用外部 IdP 管理的凭据登录 Salesforce,例如 Okta、Azure AD、Ping 或其他符合 SAML/OpenID Connect 的提供商。
推荐配置
对所有启用了 MFA 的用户强制实施 SSO、最低 12 个字符的密码标准和条件访问策略(如果适用)。
安全影响
通过消除对本地凭据的依赖,减少凭据盗窃、网络钓鱼成功和未经授权的访问。
业务影响
提高合规性一致性,减少安全事件,并加强对劳动力访问的治理。
安全风险(如果未配置)
具有较弱密码策略的本地身份验证增加了帐户接管的可能性,特别是对于特权用户。
威胁场景
凭据填充、基于网络钓鱼的帐户接管、滥用受威胁的管理员凭据。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
对于拥有许多管理员、API 用户或敏感业务流程访问权限的组织,风险会增加。
高风险
不强制实施 MFA,允许直接登录,或者用户从非受管设备访问 Salesforce。
低风险
强制执行具有 MFA、IP 限制、设备 Trust 和会话保证策略的 SSO。
业务和集成注意事项
需要与 IAM 团队协调。Salesforce 本地支持 SAML 和 OpenID Connect 集成。
安全健康审查指导
安全运行状况审查找出缺失或薄弱的 SSO 实施,并确定劳动力和特权访问的补救优先级。
谁受到影响
直接访问 Salesforce 的内部员工、管理员、开发人员和员工用户。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
