Loading
Configuration et maintenance de votre organisation Salesforce
Table des matières
Filtrer par (0)Ajouter
Sélectionner des filtres

          Aucun résultat
          Aucun résultat
          Voici quelques conseils de recherche

          Vérifiez l'orthographe de vos mots-clés.
          Utilisez des termes de recherche plus généraux.
          Sélectionnez moins de filtres pour élargir votre recherche.

            Recherchez dans toute l’aide de Salesforce
            Recherchez dans toute l’aide de Salesforce
            Accès API

            Vous êtes ici :

            1. Aide de Salesforce
            2. Documents
            3. Configuration et maintenance de votre organisation Salesforce

            Accès API

            Ce contrôle retire l'autorisation système « API activée » des profils utilisateur invité non authentifiés.

            Nom du contrôle

            Accès API

            Configuration recommandée

            Désactivez l'accès API dans le profil utilisateur Invité.

            Vue d'ensemble du contrôle

            Ce contrôle retire l'autorisation système « API activée » des profils utilisateur invité non authentifiés, empêchant ainsi les utilisateurs anonymes d'accéder aux données Salesforce via des interfaces programmatiques telles que les API REST ou SOAP.

            Risque de sécurité s'il n'est pas configuré

            Lorsqu'il est activé, un assaillant anonyme peut utiliser des points de terminaison d'API Salesforce standard pour sonder systématiquement les métadonnées de votre organisation et tenter d'extraire des enregistrements qui pourraient être involontairement exposés via des règles de partage lâches.

            Scénarios de menace

            Un acteur malveillant utilise un script pour scanner les points de terminaison de votre site public, en découvrant les noms ou les champs d'objets sensibles et en téléchargeant tous les enregistrements auxquels il a accès en « lecture » sans jamais se connecter.

            Plage de score CVSS estimée

            Critique (9,0 à 10,0).

            Considérations relatives à l'impact sur le risque

            Autoriser l'accès d'API à des utilisateurs non authentifiés augmente considérablement le risque d'exfiltration de données à grande échelle et de « mise au rebut » automatisée de votre organisation, ce qui peut entraîner des violations majeures de la vie privée et des amendes réglementaires.

            Risque plus élevé quand

            Si le profil Utilisateur invité a un accès « Lire » aux objets contenant des Informations d'identification personnelle (PII) ou si le paramètre « Sécuriser l'accès aux enregistrements par les utilisateurs invités » a été contourné manuellement.

            Risque faible quand

            Si l'entreprise a déjà limité l'Utilisateur invité à zéro autorisation d'objet et a appliqué un modèle de partage « Privé » qui refuse par défaut l'accès à tous les enregistrements.

            Considérations relatives à l'entreprise et à l'intégration

            La désactivation de cette autorisation peut rompre des composants frontaux personnalisés ou des intégrations externes qui nécessitent de passer des appels d'API non authentifiés à votre site pour afficher des informations publiques telles que des catalogues de produits ou des emplacements de magasin.

            Remédiation recommandée

            • 1. Désélectionnez « Autoriser les utilisateurs invités à accéder aux API publiques » dans les paramètres du site.
            • 2. Désélectionnez « API activée » dans le profil Invité.

            Guide d'examen sanitaire de sécurité

            Security Health Review identifie le retrait de l'accès API invité comme une étape obligatoire pour réduire la surface d'attaque disponible, en s'assurant que les sites publics fournissent uniquement des données via des composants d'interface utilisateur autorisés plutôt que des canaux programmatiques ouverts.

            Voir également :

             
            Chargement
            Salesforce Help | Article