Loading
Configuración y mantenimiento de su organización de Salesforce
Índice de materias
Filtrar por (0)Agregar
Seleccionar filtros

          No hay resultados
          No hay resultados
          Estas son algunas sugerencias de búsqueda

          Compruebe la ortografía de sus palabras clave.
          Utilice términos de búsqueda más generales.
          Seleccione menos filtros para ampliar su búsqueda.

            Buscar en toda la Ayuda de Salesforce
            Buscar en toda la Ayuda de Salesforce
            Acceso a la API

            Usted está aquí:

            1. Ayuda de Salesforce
            2. Documentos
            3. Configuración y mantenimiento de su organización de Salesforce

            Acceso a la API

            Este control elimina el permiso del sistema "API activada" de perfiles de usuario invitado no autenticados.

            Nombre de control

            Acceso a la API

            Configuración recomendada

            Desactive Acceso de API en perfil de usuario Invitado.

            Descripción general de control

            Este control elimina el permiso del sistema "API activada" de perfiles de usuario invitado no autenticados, evitando que los usuarios anónimos accedan a datos de Salesforce a través de interfaces programáticas como las API de REST o SOAP.

            Riesgo de seguridad si no está configurado

            Cuando se activa, un atacante anónimo puede utilizar extremos de API de Salesforce estándar para sondear sistemáticamente los metadatos de su organización e intentar extraer registros que podrían exponerse inadvertidamente a través de reglas de colaboración sueltas.

            Escenarios de amenazas

            Un actor malintencionado utiliza una secuencia de comandos para explorar los extremos de su sitio público, descubriendo campos o nombres de objetos confidenciales y descargando todos los registros a los que tiene acceso de "Lectura" sin necesidad de iniciar sesión.

            Intervalo de puntuaje de CVSS estimado

            Crítico (9,0 a 10,0).

            Consideraciones de impacto de riesgo

            Permitir el acceso de API a usuarios no autenticados aumenta significativamente el riesgo de exfiltración de datos a gran escala y “raspado” automatizado de su organización, lo que puede llevar a graves infracciones de privacidad y multas regulatorias.

            Mayor riesgo cuando

            Si el perfil Usuario invitado tiene acceso de “Lectura” a objetos que contienen Información de identificación personal (PII) o si la configuración “Asegurar acceso de registro de usuario invitado” se omitió manualmente.

            Bajo riesgo cuando

            Si la compañía ya restringió el Usuario invitado a cero permisos de objeto y aplicó un modelo de colaboración "Privado" que deniega el acceso a todos los registros de forma predeterminada.

            Consideraciones de negocio e integración

            La desactivación de este permiso puede interrumpir componentes de front-end personalizados o integraciones externas que se basan en realizar llamadas de API no autenticadas a su sitio para mostrar información pública como catálogos de productos o ubicaciones de establecimientos.

            Remediación recomendada

            • 1. Anule la selección de "Permitir a los usuarios invitados acceder a las API públicas" en la configuración del sitio.
            • 2. Anule la selección de “API activada” en el Perfil de invitado.

            Directrices de revisión del estado de seguridad

            Security Health Review identifica la eliminación del acceso de API invitado como un paso obligatorio para reducir la superficie de ataque disponible, asegurándose de que los sitios públicos solo proporcionan datos a través de componentes de interfaz de usuario autorizados en vez de abrir canales programáticos.

            Consulte también:

             
            Cargando
            Salesforce Help | Article