您位於此處:
AdvancedOmnistudioAccessCheck 設定為「True」
組織範圍設定,會在所有 Omnistudio 元件之間強制執行嚴格的 Salesforce 安全性模型。
控制名稱
Omnistudio - 物件和欄位級安全性 (AdvancedOmnistudioAccessCheck 設定為「True」)。
控制概觀
強制執行嚴格 Salesforce 安全性模型 (物件權限、欄位級安全性、Apex 共用規則) 的組織範圍設定,適用於所有 Omnistudio 元件,包括 Vlocity 卡、FlexCard、整合程序和 DataRaptor。
描述
啟用時,Omnistudio 執行階段會在資料存取/顯示前驗證每個使用者的權限,而非透過元件邏輯略過 FLS/CRUD。這適用於使用 Omnistudio UI 的內部使用者和外部 Experience Cloud 入口網頁。
建議組態
在「設定」>「自訂設定」>「Omnistudio」全域設定中,選取「AdvancedOmnistudioAccessCheck Configured」設為「True」。
安全性影響
透過確保元件遵循與標準 Salesforce 頁面相同的權限模型,來防止透過 Omnistudio UI 升級權限。去除 FlexCard/DataRaptors 忽略共用規則的常見略過模式。
業務影響
讓低程式碼 Omnistudio 開發與企業安全性管理保持一致。支援合規性稽核,顯示自訂與標準功能之間的統一強制執行權限。
未設定安全性風險
缺少進階安全性檢查強制執行,以嚴格驗證所有使用 Omnistudio 的使用者物件、欄位級和 Apex 類別權限,會建立權限略過漏洞。
威脅情況
欄位與物件資料曝光的風險增加;外部入口網頁使用者檢視不應存取的 PII 欄位、內部使用者看見共用界限以外的記錄,或入侵帳戶透過 Omnistudio 驅動的報告/API 收集資料。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
現有 Omnistudio 應用程式在啟用時可能損毀 (存取受限制資料的元件);需要全方位測試;儲存空間和效能影響最小。
風險愈高時機
Omnistudio 會支援 Experience Cloud 入口網頁、處理 PII/PHI/財務資料、複雜共用模式 (區域範圍/擁有者/規則),或啟用外部/合作夥伴使用者。
低度風險時機
僅限內部使用者、無共用規則的簡單物件模型、Omnistudio 用於僅限顯示的顯示面板,且無資料修改。
業務與整合考量事項
先在 Sandbox 中啟用並系統測試所有 Omnistudio 頁面。視需要在部署後更新權限集和設定檔。
安全性健康檢閱指南
必須。
受影響的人員
Omnistudio 開發人員、Experience Cloud 管理員、驗證低程式碼安全性的安全性結構設計師、存取 Omnistudio 技術支援應用程式的一般使用者。
