Loading
Sikre Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            API (Aktiver OAuth-innstillinger): Kontroll over innstillinger for godkjenningskode og legitimasjonsflyt

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Sikre Salesforce-organisasjonen

            API (Aktiver OAuth-innstillinger): Kontroll over innstillinger for godkjenningskode og legitimasjonsflyt

            Denne kontrollen konfigurerer de spesifikke sikkerhetskravene for godkjenningskode- og legitimasjonsflyten.

            Navn på kontroll

            Tilkoblede apper: API (Aktiver OAuth-innstillinger): Innstillinger for godkjenningskode og legitimasjonsflyt

            Anbefalt konfigurasjon

            Aktiver Godkjenningskode og legitimasjonsflyt.

            Ikke krev eller opphev valget av Krev hemmelighet for nettserverflyt og Krev hemmelighet for oppdateringstokenflyt.

            Oversikt over kontroll

            Denne kontrollen konfigurerer de spesifikke sikkerhetskravene for godkjenningskode- og legitimasjonsflyten, og bestemmer om en klienthemmelighet må valideres basert på om programmet er en privat klient (serverside) eller en felles klient (nettleser/mobil).

            Sikkerhetsrisiko hvis ikke konfigurert

            Feil å kreve en hemmelighet for offentlige klienter tvinger hardkoding av legitimasjon til front-end-kode der de lett blir stjålet, mens manglende å kreve en hemmelighet for private klienter tillater angripere å utveksle oppfangede koder uten å trenge programvarens private nøkkel.

            Trusselscenarier

            En angriper dekompilerer en mobilapp for å trekke ut en hardkodet klienthemmelighet eller fanger opp en godkjenningskode fra en app på serversiden og utveksler den vellykket for et tilgangstoken med høy rettighet fordi det ikke var nødvendig med noen hemmelighet for utvekslingen.

            Beregnet CVSS Score-område

            Kritisk (9.0–10.0).

            Viktige punkter om risikoinnvirkning

            Feil konfigurasjon fører enten til kompromittering av klientlegitimasjon eller aktivering av uautorisert øktkapring, som begge fører til vedvarende, ikke-godkjent tilgang til sensitive data.

            Høyere risiko når

            Når flyten brukes til integrasjoner med høy rettigheter som mangler PKCE (Proof Key for Code Exchange) som et sekundært forsvar, eller når hemmeligheter lagres i repositorier på klientsiden med ren tekst.

            Lav risiko når

            Når Privatkunder strengt håndhever hemmeligheter som er lagret i sikre varebeholdninger på serversiden, og Felles kunder bruker PKCE til å sikre byttet uten å måtte ha en sårbar delt hemmelighet.

            Viktige punkter om virksomheten og integrasjonen

            Å implementere dette riktig krever en tydelig arkitektonisk forskjell mellom serverdrevne og frontenddrevne programmer for å sikre at den riktige "Hemmelig"-policyen brukes uten å bryte godkjenningshåndtaket.

            Anbefalt rettelse

            For private/serverside-klienter velger du både Krev hemmelighet for nettserverflyt og Krev hemmelighet for oppdateringstokenflyt. For felles/mobilklienter fjerner du merket for disse alternativene og implementerer i stedet PKCE.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsvurdering fremhever at sikkerheten til en hemmelighet helt avhenger av klientens evne til å beskytte den, og gir mandat til at ingen delte hemmeligheter noen gang blir eksponert for nettleseren eller mobilmiljøet.

            Se også:

             
            Laster
            Salesforce Help | Article