Loading
Configurar e manter a sua organização do Salesforce
Índice
Filtrar por (0)Adicionar
Selecionar filtros

          Sem resultados
          Sem resultados
          Aqui estão algumas dicas de pesquisa

          Verifique a grafia das palavras-chave.
          Tente utilizar termos mais genéricos.
          Selecione menos filtros para ampliar sua pesquisa.

            Pesquisar em toda a Ajuda do Salesforce
            Pesquisar em toda a Ajuda do Salesforce
            Acesso da API

            Você está aqui:

            1. Ajuda do Salesforce
            2. Documentação
            3. Configurar e manter a sua organização do Salesforce

            Acesso da API

            Esse controle remove a permissão do sistema "API habilitada" de perfis de usuário convidado não autenticados.

            Nome do controle

            Acesso da API

            Configuração recomendada

            Desabilite o acesso à API no perfil de usuário convidado.

            Visão geral de controle

            Esse controle remove a permissão do sistema "API habilitada" de perfis de usuário convidado não autenticados, impedindo que usuários anônimos acessem dados do Salesforce por meio de interfaces programáticas, como as APIs REST ou SOAP.

            Risco de segurança, se não configurado

            Quando habilitado, um atacante anônimo pode usar pontos de extremidade padrão da API do Salesforce para sondar sistematicamente os metadados da sua organização e tentar extrair registros que podem ser expostos inadvertidamente por meio de regras de compartilhamento soltas.

            Cenários de ameaça

            Um ator mal-intencionado usa um script para verificar os pontos de extremidade do seu site público, descobrir campos ou nomes de objetos confidenciais e baixar todos os registros aos quais ele tem acesso de "Leitura" sem precisar fazer login.

            Intervalo de pontuação de CVSS estimado

            Crítico (9.0 a 10.0).

            Considerações sobre impacto de risco

            Permitir acesso à API a usuários não autenticados aumenta significativamente o risco de exfiltração de dados em grande escala e "captura" automatizada de sua organização, o que pode levar a grandes violações de privacidade e multas regulatórias.

            Risco maior quando

            Se o perfil de Usuário convidado tiver acesso de "Leitura" a objetos que contêm Informações de identificação pessoal (PII) ou se a configuração "Acesso seguro ao registro do usuário convidado" tiver sido ignorada manualmente.

            Baixo risco quando

            Se a empresa já tiver restringido o Usuário convidado a zero permissões de objeto e tiver imposto um modelo de compartilhamento "Privado" que negue acesso a todos os registros por padrão.

            Considerações de negócios e integração

            Desabilitar essa permissão pode interromper componentes de front-end personalizados ou integrações externas que dependem de fazer chamadas de API não autenticadas ao seu site para mostrar informações públicas, como catálogos de produtos ou locais de lojas.

            Remediação recomendada

            • 1. Desmarque "Permitir que usuários convidados acessem APIs públicas" nas configurações do site.
            • 2. Desmarque "API habilitada" no perfil de convidado.

            Diretriz de revisão de saúde de segurança

            A Análise de integridade de segurança identifica a remoção do acesso à API convidada como uma etapa obrigatória para reduzir a superfície de ataque disponível, garantindo que os sites públicos forneçam dados apenas por meio de componentes de interface do usuário autorizados, em vez de canais programáticos abertos.

            Consulte também:

             
            Carregando
            Salesforce Help | Article