此文字已使用 Salesforce 的自動翻譯系統進行翻譯。參閱我們的 調查以提供此內容的回饋意見,並告訴我們您接下來想要查看的內容。
安全 - 工作階段安全性
深入瞭解 Well-Architected Trusted → Secure → Session Security → Device Access
| 要在哪裡尋找? 產品區域 | 位置 | 優良的外觀為何? 模式 |
|---|---|
| 平台 | 文件 | ✅ 安全性角色會清楚對應至適當的裝置用量與原則 |
| 平台 | 文件 | ✅ 裝置原則清楚且可探索 |
| 平台 | 組織 | ✅ 閒置後,Salesforce 行動連線應用程式組態需要 PIN/密碼解除鎖定 |
| 平台 | 組織 | ✅ 如果業務需求需要嚴格控制可存取 Salesforce 行動裝置的使用者,則會啟用「API 存取控制」,並將權限集指派給 Salesforce 行動應用程式的所有使用者 |
深入瞭解 Well-Architected Trusted → Secure → Session Security → Session Management
| 要在哪裡尋找? 產品區域 | 位置 | 優良的外觀為何? 模式 |
|---|---|
| 平台 | Apex | ✅ 如果存在自訂登入流程,所有相關的自訂程式碼都會使用適當的 SessionManagement 方法來指派工作階段級安全性 |
| 平台 | Aura | ✅ 如果存在自訂登入流程,請使用具有必要 SessionManagement 方法的 Apex 控制項來指派工作階段層級安全性 |
| 平台 | 設計標準 | ✅ 安全性角色會明確列出每個角色已批准的工作階段類型與逾時/持續時間設定 |
| 平台 | 設計標準 | ✅ 針對需要提升工作階段層級安全性的活動定義標準 |
| 平台 | 設計標準 | ✅ 系統會為需要指派權限較高的活動定義標準 |
| 平台 | 設計標準 | ✅ 連線應用程式範圍與權杖管理原則清楚且可探索 |
| 平台 | 文件 | ✅ 連線應用程式範圍與權杖管理原則清楚且可探索 |
| 平台 | 文件 | ✅ 已指定登入時間 (或識別為非必要) |
| 平台 | Lightning Web 元件 (LWC) | ✅ 如果存在自訂登入流程,請使用具有必要 SessionManagement 方法的 Apex 控制項來指派工作階段層級安全性 |
| 平台 | 組織 | ✅ 如果使用者從防火牆後方存取 Salesforce,防火牆會使用必要網域的允許清單,而非 IP 位址,以保護 Salesforce 的通訊安全 |
| 平台 | 組織 | ✅ 未啟用工作階段逾時間隔不超過預設值 (2 小時) |
| 平台 | 組織 | ✅ 已啟用下列所有設定: -「設定」頁面的點閱綁架保護 - 未設定 Salesforce 頁面的點閱綁架保護 - 跨站台要求偽造 (CSRF) 保護 - 跨站台指令檔 (XSS) 保護 - 啟用內容探查保護 - 推薦者 URL 保護 - 在使用者重新導向至 Salesforce 之外之前警告使用者 |
| 平台 | 組織 | ✅ 工作階段稽核顯示使用者僅透過預期的工作階段類型存取 Salesforce |
| 平台 | 組織 | ✅ 有「僅 API 使用者」存取權的清楚且啟用權限集 (且「僅 API」權限設為 TRUE),且所有整合與自動化使用者都已指派 |
深入瞭解結構正確的 信任 → 安全 → 工作階段安全性 → 威脅偵測和回應
| 要在哪裡尋找? 產品區域 | 位置 | 優良的外觀為何? 模式 |
|---|---|
| Einstein | 工作人員 | ✅ 工作人員事件記錄包含對話資料 啟用增強型事件記錄的設定,除非有重要原因應該遮蔽對話資料 |
| Einstein | Einstein Trust 圖層 | ✅ 生成式 AI 功能會定期稽核 Einstein 生成式 AI 稽核資料會從「Einstein 回饋意見」設定頁面啟用。生成式 AI 對話 (包括提示及其回應) 會定期稽核與檢閱 |
| 平台 | 公司 | ✅ 稽核資料可在業務專案關係人可瞭解和存取的報告中使用 |
| 平台 | 公司 | ✅ 定期審核稽核歷程記錄與報告 |
| 平台 | 文件 | ✅ 系統會清楚記錄所有自動回應 |
| 平台 | 文件 | ✅ 記錄可在 Salesforce 中檢閱可用記錄的步驟 |
| 平台 | 文件 | ✅ 已為資料模型中的所有物件指定稽核層級 |
| 平台 | 文件 | ✅ 安全性原則包含應觸發回應的事件清單以及適當的回應類型 |
| 平台 | 組織 | ✅ 如果偵測到異常使用狀況,則可透過停用使用者帳戶或即時封鎖對資源的存取權來進行自動化,以回應威脅 |
| 平台 | 組織 | ✅ 通知和警示設定為通知適當的使用者有關異常活動 |
| 平台 | 組織 | ✅ 欄位歷程記錄追蹤已針對包含私人或敏感資料的所有欄位啟用 |
深入瞭解 Well-Architected Trusted → Secure → Session Security → Device Access
| 要在哪裡尋找? 產品區域 | 位置 | 要避免什麼? Anti-Pattern |
|---|---|
| 平台 | 文件 | ⚡️ 安全性原則不存在或不包含裝置存取的相關資訊 |
| 平台 | 組織 | ⚡️ 未將 Salesforce 行動連線應用程式設定為需要 PIN/密碼解除鎖定以進行閒置 |
| 平台 | 組織 | ⚡️ 業務需求需要嚴格控制可存取 Salesforce 行動裝置的使用者,但未啟用「API 存取控制」或未使用權限集來控制對 Salesforce 行動應用程式的存取權 |
深入瞭解 Well-Architected Trusted → Secure → Session Security → Session Management
| 要在哪裡尋找? 產品區域 | 位置 | 要避免什麼? Anti-Pattern |
|---|---|
| 平台 | Apex | ⚡️ 如果存在自訂登入流程,則沒有指派工作階段層級安全性的邏輯 |
| 平台 | Aura | ⚡️ 如果存在自訂登入流程,則沒有指派工作階段層級安全性的邏輯 |
| 平台 | 設計標準 | ⚡️ 未針對需要提升工作階段層級安全性的活動定義標準 |
| 平台 | 設計標準 | ⚡️ 未針對需要指派增權限的活動定義標準 |
| 平台 | 設計標準 | ⚡️ 安全性原則不包含連線應用程式範圍或權杖管理的相關資訊 |
| 平台 | 設計標準 | ⚡️ 安全性角色不存在或缺少工作階段類型和逾時/持續時間設定的相關資訊 |
| 平台 | 文件 | ⚡️ 未記錄連線應用程式範圍與權杖管理原則 |
| 平台 | Lightning Web 元件 (LWC) | ⚡️ 如果存在自訂登入流程,則沒有指派工作階段層級安全性的邏輯 |
| 平台 | 組織 | ⚡️ 沒有使用者應擁有的工作階段類型定義 |
| 平台 | 組織 | ⚡️ 整合與自動化使用者無法清楚或遺失「僅 API」權限 |
| 平台 | 組織 | ⚡️ 沒有一般工作階段稽核 |
| 平台 | 組織 | ⚡️ 如果使用者從防火牆後面存取 Salesforce,防火牆會使用硬式編碼的 IP 位址來保護對 Salesforce 的通訊。 |
| 平台 | 組織 | ⚡️ 未啟用工作階段逾時間隔超出預設值 (2 小時) |
| 平台 | 組織 | ⚡️ 停用下列任一設定: -「設定」頁面的點閱綁架保護 - 未設定 Salesforce 頁面的點閱綁架保護 - 跨站台要求偽造 (CSRF) 保護 - 跨站台指令檔 (XSS) 保護 - 啟用內容探究保護 - 推薦者 URL 保護 - 在使用者重新導向至 Salesforce 之外之前警告使用者 |
深入瞭解結構正確的 信任 → 安全 → 工作階段安全性 → 威脅偵測和回應
| 要在哪裡尋找? 產品區域 | 位置 | 要避免什麼? Anti-Pattern |
|---|---|
| Einstein | 組織 | ⚡️ 不會稽核生成式 AI 功能 生成式 AI 對話 (包括提示與回應) 不會定期稽核與檢閱 |
| 平台 | 公司 | ⚡️ 稽核資料僅可透過需要主題專業知識的記錄檔存取與解譯 |
| 平台 | 公司 | ⚡️ 沒有可檢閱稽核資訊的流程 |
| 平台 | 文件 | ⚡️ 安全性原則不存在或不包含威脅偵測和警示的相關資訊 |
| 平台 | 文件 | ⚡️ 自動回應的文件不存在或不明確 |
| 平台 | 組織 | ⚡️ 沒有自動化功能可回應威脅 |
| 平台 | 組織 | ⚡️ 通知和警示未設定為通知適當的使用者有關異常活動,或者存在與異常活動相關的一些通知和警示,但它們是臨時的 |
| 平台 | 組織 | ⚡️ 針對包含私人或敏感資料的欄位,不會一直啟用欄位歷程記錄追蹤 |