Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Accesso API

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            Accesso API

            Questo controllo rimuove l'autorizzazione di sistema "API abilitata" dai profili utente guest non autenticati.

            Nome controllo

            Accesso API

            Configurazione consigliata

            Disabilitare l'accesso API nel profilo utente Guest.

            Panoramica sul controllo

            Questo controllo rimuove l'autorizzazione di sistema "API abilitata" dai profili utente guest non autenticati, impedendo agli utenti anonimi di accedere ai dati Salesforce tramite interfacce di programmazione come le API REST o SOAP.

            Rischio per la sicurezza se non configurato

            Quando è abilitato, un aggressore anonimo può utilizzare gli endpoint API Salesforce standard per sondare sistematicamente i metadati dell'organizzazione e tentare di estrarre i record che potrebbero essere esposti inavvertitamente tramite regole di condivisione non valide.

            Scenari di minaccia

            Un utente malintenzionato utilizza uno script per analizzare gli endpoint del sito pubblico, individuare i nomi o i campi di oggetti sensibili e scaricare tutti i record a cui ha accesso in "Lettura" senza dover eseguire l'accesso.

            Intervallo di punteggi CVSS stimato

            Critico (9.0–10.0).

            Considerazioni sull'impatto del rischio

            Consentire l'accesso API agli utenti non autenticati aumenta in modo significativo il rischio di esfiltrazione dei dati su larga scala e di "scraping" automatico dell'organizzazione, che può causare gravi violazioni della privacy e sanzioni normative.

            Rischio maggiore quando

            Se il profilo Utente guest dispone dell'accesso "Lettura" agli oggetti contenenti informazioni personali (PII) o se l'impostazione "Proteggi l'accesso record utente guest" è stata ignorata manualmente.

            Basso rischio quando

            Se la società ha già limitato l'accesso dell'utente guest a zero autorizzazioni oggetto e ha applicato un modello di condivisione "Privato" che nega l'accesso a tutti i record per impostazione predefinita.

            Considerazioni su Business e integrazione

            La disabilitazione di questa autorizzazione può compromettere i componenti front-end personalizzati o le integrazioni esterne che si basano sull'esecuzione di chiamate API non autenticate al sito per visualizzare informazioni pubbliche come cataloghi di prodotti o posizioni di punti vendita.

            Rimedio consigliato

            • 1. Deselezionare "Consenti agli utenti guest di accedere alle API pubbliche" nelle impostazioni del sito.
            • 2. Deselezionare "API abilitata" nel profilo guest.

            Guida all'esame dello stato della sicurezza

            Security Health Review identifica la rimozione dell'accesso API guest come un passaggio obbligatorio per ridurre la superficie di attacco disponibile, assicurandosi che i siti pubblici forniscano i dati solo tramite componenti dell'interfaccia utente autorizzati anziché aprire i canali di programmazione.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article