您位於此處:
支援的 SSO 實例:Salesforce 作為服務提供者 (信賴憑證者)
讓使用者能夠使用外部企業身分提供者 (IdP) 驗證 Salesforce,以集中驗證和存取控制。
控制名稱
Salesforce 組織存取的單一登入 (Salesforce 作為服務提供者)
控制概觀
讓使用者使用外部企業 IdP 驗證 Salesforce,以集中驗證和存取控制。
描述
使用者使用由外部 IdP 管理的認證 (例如 Okta、Azure AD、Ping 或其他 SAML/OpenID Connect 相容提供者) 登入 Salesforce。
建議組態
針對已啟用 MFA 的所有使用者強制執行 SSO、最低 12 個字元密碼標準,以及適用的條件式存取原則。
安全性影響
透過消除對本機認證的依賴,減少認證遭竊、網路釣魚成功和未經授權的存取。
業務影響
改善合規性對齊方式、減少安全性事件,並強化對人力存取權的管理。
未設定安全性風險
具有較弱密碼原則的本機驗證會增加帳戶接管的可能性,特別是對於特權使用者而言。
威脅情況
認證填充、網路釣魚型帳戶接管、濫用入侵的管理員認證。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
具有許多管理員、API 使用者或敏感業務流程存取權的組織其風險會增加。
風險愈高時機
不會強制執行 MFA、允許直接登入,或允許使用者從未受管理的裝置存取 Salesforce。
低度風險時機
系統會強制執行具有 MFA、IP 限制、裝置 Trust 和工作階段保證原則的 SSO。
業務與整合考量事項
需要與 IAM 小組協調。Salesforce 本機支援 SAML 與 OpenID Connect 整合。
安全性健康檢閱指南
「安全健康審查」會識別缺少或弱的 SSO 強制執行,並為人力和特權存取權排定補救的優先順序。
受影響的人員
直接存取 Salesforce 的內部員工、管理員、開發人員和人力使用者。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
