注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
在使用单点登录身份提供商(IdP)访问Palantir Foundry时,您应遵循安全最佳实践。
Palantir 强烈倡导超越传统的用户名+密码的身份验证。多因素认证在我们的软件产品中是强制性的。如果您在您的身份提供商中使用自己的多因素认证实现,您应要求使用强形式的认证。
强认证形式的示例(按大致优先顺序):
其他形式的MFA,例如基于短信的OTP(短信)、电子邮件OTP和两步认证(点击链接),或安全问题不被认为是强认证形式,应弃用而采用其他方法。
如果您在身份提供商上没有强制多因素认证,我们的产品本身支持多因素认证。
Palantir Foundry有意规定相对较短的最大会话生命周期,以强制定期重新认证身份提供商。由于会话词元可能被对手窃取并可能在其持续期间被滥用,强制所有用户会话的相对较短寿命提供了一些保证,即任何滥用行为是时间受限的。
出于同样的原因,您应确保您的身份提供商生成的会话词元的寿命不过于宽松。
如果您使用现代身份提供商,您应启用并使用零信任技术和策略。这些技术可能包括条件访问、设备健康或姿态评估、强多因素认证声明和相关控制。请参考您的身份提供商文档以了解可用的功能,以及如何实现它们。
零信任安全模型的最佳实践包括:
服务账户通常对敏感数据有广泛的访问权限,与标准用户账户相比,其安全性较差。这使得它们成为对手的吸引目标。
服务账户管理的陷阱包括:
如果您在Palantir Foundry中使用服务账户,保护它们以保护您的数据是至关重要的。
服务账户管理的最佳实践包括:
强烈建议客户捕获和监控自己的审计日志。请参阅监控安全审计日志以获取更多指导。
中央认证是由Palantir管理的Microsoft Entra ID(Azure AD)身份提供商。中央认证由Palantir信息安全团队管理,旨在为那些没有自己的身份提供商或尚未能够将其身份提供商与Foundry集成的客户提供一个安全优先的认证解决方案。
如果您没有Foundry安装的身份提供商,我们可能会通过中央认证为您提供访问。请联系您的Palantir代表以获取更多信息。
中央认证可以作为SAML Multipass领域与您的Foundry安装集成。集成后,用户账户的配置和解除配置由Palantir管理。组、权限标记和其他平台安全功能仍由您管理。
所有中央认证账户必须符合严格的安全控制: