您在此处:
AdvancedOmnistudioAccessCheck 配置设置为“真”
在所有 Omnistudio 组件中强制执行严格 Salesforce 安全模型的组织范围设置。
控件名称
Omnistudio - 对象和字段级安全性(AdvancedOmnistudioAccessCheck 配置为“真”)。
控制概览
组织范围的设置,在所有 Omnistudio 组件(包括 Vlocity 卡、FlexCard、集成程序和 DataRaptor)中强制执行严格的 Salesforce 安全模型(对象权限、字段级安全性、Apex 共享规则)。
描述
启用后,Omnistudio Runtime 会在数据访问/显示之前验证每个用户的权限,而不是通过组件逻辑绕过 FLS/CRUD。这适用于内部用户和使用 Omnistudio UI 的外部 Experience Cloud 入口网站。
推荐配置
在“设置”>“自定义设置”>“Omnistudio 全局设置”中,选择 AdvancedOmnistudioAccessCheck 配置设置为“真”。
安全影响
通过确保组件遵守与标准 Salesforce 页面相同的权限模型,防止通过 Omnistudio UI 进行权限升级。消除了 FlexCards/DataRaptor 忽略共享规则的常见绕过模式。
业务影响
将低代码 Omnistudio 开发与企业安全治理相结合。支持合规性审计,显示自定义和标准功能之间的统一权限实施。
安全风险(如果未配置)
缺乏高级安全检查强制来严格验证使用 Omnistudio 的所有用户的对象、字段级和 Apex 类权限,这造成了权限绕过漏洞。
威胁场景
增加字段和对象数据泄露的风险;外部入口网站用户查看不应访问的 PII 字段,内部用户查看共享边界之外的记录,或者被盗用的客户通过 Omnistudio 驱动的报表/API 收集数据。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
现有 Omnistudio 应用程序在启用时可能会中断(访问受限数据的组件);需要全面测试;存储和性能影响最小。
高风险
Omnistudio 支持 Experience Cloud 入口网站、处理 PII/PHI/财务数据、复杂共享模型(区域/所有者/规则)或启用外部/合作伙伴用户。
低风险
仅限内部用户,没有共享规则的简单对象模型,Omnistudio 用于仅显示仪表板,没有数据修改。
业务和集成注意事项
首先在 Sandbox 中启用,并系统测试所有 Omnistudio 页面。部署后根据需要更新权限集和简档。
安全健康审查指导
一定是
谁受到影响
Omnistudio 开发人员、Experience Cloud 管理员、验证低代码安全性的安全架构师、访问 Omnistudio 支持的应用程序的最终用户。
