将对SaaS应用程序的所有管理访问（例如用于设置单点登录（SSO）集成的管理员帐户）视为特权。
       在大多数组织中，各种各样的用户可以访问SaaS应用程序的管理员帐户，例如Salesforce，ServiceNow，Jira，Docusign，DropBox等。以企业社交媒体平台的共享帐户为例。凭据通常在团队甚至第三方承包商之间共享，并且很少更改，这使得他们很容易成为外部攻击者和恶意内部人员的目标。必须将此类账户视为特权账户，并且必须实施特权访问管理的最佳实践，以降低泄露风险。特别是，特权凭证应在中央保管库中加以保护，并自动轮换使用，所有活动都必须记录下来并可供审核。有权访问SaaS应用程序敏感信息的人员，机器和应用程序用户也应被视为特权用户。

实施单点登录以保护对云应用程序的访问。
       随着公司将更多的SaaS应用程序上线，登录凭据已成为对攻击者来说很有吸引力的目标。仅凭密码还不足以验证用户的身份并保护企业免受数据丢失，欺诈和恶意攻击。SSO利用诸如Microsoft Active Directory，Azure AD，Okta Universal Director或Ping Identity之类的中央身份提供程序来管理用户身份验证，并通过一组凭据授予对SaaS应用程序的访问权限。这通过更强大的密码策略提高了安全性，通过简化对员工完成工作所需的所有应用程序的访问来提高了生产效率，IT部门可以更轻松地监视和管理整个企业的访问。

通过多因素身份验证（MFA）加强访问控制。
        MFA要求用户通过多种身份验证挑战，例如提供发送到其移动设备的一次性代码，从而帮助确保用户的真实身份。在远程工作时代，可以从公司网络外部定期访问SaaS应用程序，而MFA是验证用户身份并防止使用受损的凭据的工具层。但是请不要忘记，用于管理MFA软件的特权帐户也必须始终受到强大的特权访问控制的保护。

安装并集成身份管理解决方案。 
       与业界领先的身份治理和管理（IGA）解决方案集成，使组织能够获得对其身份环境的统一视图，并始终如一地管理所有身份，包括特权身份和访问权限，根据规定的公司政策，满足法规遵从性和访问策略要求。

持续更新。 
       利用中央身份提供程序来管理用户身份验证以进行应用程序资源调配和反资源调配，以便在员工离开组织或组织中的角色发生变化时自动删除对SaaS控制台的访问。这很关键，这样用户就无法继续访问他们实际上不使用或不需要的云服务。实现最小特权的最佳实践，在这种做法中，所有身份只有执行其持续职责所需的最小权限，这使得攻击者更难升级特权。