詳細情報:
接続アプリケーションのユーザープロビジョニング: ユーザープロビジョニングの有効化
このセキュリティ設定により、Salesforce と外部アプリケーション間のユーザー ID 情報の交換が自動化されます。
コントロール名
接続アプリケーション: 接続アプリケーションのユーザープロビジョニング: ユーザープロビジョニングの有効化
推奨設定
ユーザープロビジョニングを有効にします。
制御の概要
このセキュリティ設定により、Salesforce と外部アプリケーション間のユーザー ID 情報の交換が自動化され、Salesforce ユーザーレコードに基づいてプログラムでアカウントを作成、更新、無効化できます。
設定されていない場合のセキュリティリスク
接続アプリケーションの中央ユーザープロビジョニングの欠如は、手動のオフボーディングギャップが原因で、終了ユーザーが有効なログイン情報と外部サービスプロバイダーへのアクセス権を保持する重大なリスクにつながります。
脅威のシナリオ
Salesforce アカウントが無効化された元従業員は、ダウンストリームアカウントがプログラムで取り消されていないため、引き続きローカルログイン情報を使用して機密の統合クラウドストレージプラットフォームにログインします。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
アプリケーションエコシステム全体でユーザー状況を同期しないと、従業員以外のユーザーによる不正なデータアクセスが発生し、ログイン情報の取り消しに関するデータプライバシー規制への組織のコンプライアンスが複雑になります。
より高いリスク
接続アプリケーションでシングルサインオンがサポートされていない場合や、孤立したアカウントを識別するための ID 調整プロセスが組織にない場合、リスクが非常に高くなります。
低リスク
組織が、すべての統合エンドポイントにジャストインタイムプロビジョニングとグローバルセッション終了を適用する統合 ID プロバイダーを使用している場合。
ビジネスと統合に関する考慮事項
自動プロビジョニングは、管理オーバーヘッドを削減するための大規模なエンタープライズリリースの安全な標準です。一方、ユーザー数が制限される小規模なツールでは、手動アカウント管理が適している場合があります。
推奨される修復
接続アプリケーションの [ユーザープロビジョニング] セクションに移動し、ユーザープロビジョニングウィザードを実行して、対象外部アプリケーションのマッピングとフローの方向を設定します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、オフボーディングプロセスの整合性を確保し、外部企業リソースへの不正アクセスが保持されないようにするために、自動ユーザープロビジョニングを強く推奨する標準として特定します。
