위치:
AdvancedOmnistudioAccessCheck 구성된 "True"로 설정
모든 Omnistudio 구성 요소에 엄격한 Salesforce 보안 모델을 적용하는 조직 전체 설정입니다.
제어 이름
Omnistudio - 개체 및 필드 수준 보안(AdvancedOmnistudioAccessCheck 구성이 'True'로 설정됨)
제어 개요
Vlocity 카드, FlexCard, 통합 절차 및 DataRaptor를 비롯한 모든 Omnistudio 구성 요소에 엄격한 Salesforce 보안 모델(개체 권한, 필드 수준 보안, Apex 공유 규칙)을 적용하는 조직 전체 설정입니다.
상세 설명
활성화하면 Omnistudio 런타임이 구성 요소 논리를 통해 FLS/CRUD를 우회하는 대신 데이터 액세스/디스플레이 전에 모든 사용자의 권한을 확인합니다. 이는 Omnistudio UI를 사용하는 내부 사용자 및 외부 Experience Cloud 포털에 모두 적용됩니다.
권장 구성
설정>사용자 정의 설정>Omnistudio 전역 설정에서 AdvancedOmnistudioAccessCheck Configured를 "True"로 설정하여 선택합니다.
보안 영향
구성 요소가 표준 Salesforce 페이지와 동일한 권한 모델을 준수하도록 하여 Omnistudio UI를 통한 권한 에스컬레이션을 방지합니다. FlexCard/DataRaptor가 공유 규칙을 무시하는 일반적인 우회 패턴을 제거합니다.
비즈니스 영향
하위 코드 Omnistudio 개발과 엔터프라이즈 보안 거버넌스를 조율합니다. 사용자 정의 및 표준 기능 전반에서 일관된 권한 적용을 보여주는 규정 준수 감사를 지원합니다.
구성되지 않은 경우 보안 위험
Omnistudio를 사용하는 모든 사용자의 개체, 필드 수준 및 Apex 클래스 권한을 엄격하게 검증하기 위한 고급 보안 검사 시행이 없으므로 권한 우회 취약점이 생성됩니다.
위협 시나리오
필드 및 개체 데이터 노출 위험 증가: 외부 포털 사용자가 액세스하지 말아야 하는 PII 필드를 보거나, 내부 사용자가 공유 경계 외부의 레코드를 보거나, 손상된 계정이 Omnistudio 구동 보고서/API를 통해 데이터를 수집합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
활성화 시 기존 Omnistudio 앱이 중단될 수 있음(구성 요소가 제한된 데이터에 액세스), 포괄적인 테스트 필요, 저장소 및 성능에 미치는 영향 최소화
고위험 시점
Omnistudio는 Experience Cloud 포털을 활성화하고 PII/PHI/금융 데이터를 처리하거나 복잡한 공유 모델(영역/소유자/규칙) 또는 외부/파트너 사용자를 활성화합니다.
낮은 위험 시기
내부 사용자만 해당하며, 공유 규칙이 없는 간단한 개체 모델, 데이터 수정 없이 표시 전용 대시보드에 Omnistudio가 사용됩니다.
비즈니스 및 통합 고려 사항
먼저 Sandbox에서 활성화하고 모든 Omnistudio 페이지를 체계적으로 테스트합니다. 필요에 따라 배포 후 권한 집합 및 프로필을 업데이트합니다.
보안 상태 검토 지침
확실합니다.
영향을 받는 사람
Omnistudio 개발자, Experience Cloud 관리자, 하위 코드 보안을 확인하는 보안 아키텍처, Omnistudio 지원 응용 프로그램에 액세스하는 최종 사용자
