Loading
Ställa in och bibehålla din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            API (Aktivera OAuth-inställningar): Inställningar för auktoriseringskod och inloggningsuppgifter

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Ställa in och bibehålla din Salesforce-organisation

            API (Aktivera OAuth-inställningar): Inställningar för auktoriseringskod och inloggningsuppgifter

            Denna kontroll konfigurerar de specifika säkerhetskraven för "Auktoriseringskod och inloggningsuppgifter".

            Kontrollnamn

            Anslutna appar: API (Aktivera OAuth-inställningar): Inställningar för auktoriseringskod och inloggningsuppgifter

            Rekommenderad konfiguration

            Aktivera auktoriseringskod och inloggningsuppgifter.

            Kräv inte eller avmarkera Kräv inte hemlighet för webbserverflöde och Kräv hemlighet för uppdateringstokenflöde.

            Kontrollöversikt

            Denna kontroll konfigurerar de specifika säkerhetskraven för flödet "Auktoriseringskod och inloggningsuppgifter" och avgör om en klienthemlighet måste valideras baserat på om programmet är en "Privat klient" (serversida) eller en "Offentlig klient" (webbläsare/mobil).

            Säkerhetsrisk om den inte är konfigurerad

            Att felaktigt kräva en hemlighet för offentliga klienter tvingar den hårda kodningen av inloggningsuppgifter till frontend-kod där de enkelt stjäls, medan att misslyckas med att kräva en hemlighet för privata klienter låter attacker utbyta avlyssnade koder utan att behöva programmets privata nyckel.

            Hotscenarier

            En attackerare dekompilerar en mobilapp för att extrahera en hårdkodad klienthemlighet eller snappar upp en auktoriseringskod från en app på serversidan och byter den mot en åtkomsttoken med hög behörighet eftersom ingen hemlighet krävdes för utbytet.

            Uppskattat CVSS-betygintervall

            Kritisk (9,0-10,0).

            Att tänka på vad gäller riskpåverkan

            Felkonfiguration leder antingen till att klientuppgifter äventyras eller till att oauktoriserad sessionsövertagande aktiveras, vilket båda resulterar i bestående, ej inloggad åtkomst till känsliga data.

            Högre risk när

            När flödet används för integreringar med hög behörighet som inte har PKCE (Proof Key for Code Exchange) som ett sekundärt försvar eller när hemligheter lagras i arkiv på klientsidan i klartext.

            Låg risk när

            När "Privata klienter" strikt tillämpar hemligheter som lagras i säkra valv på serversidan och "Offentliga klienter" använder PKCE för att säkra utbytet utan att behöva en sårbar delad hemlighet.

            Att tänka på vad gäller affärer och integration

            Att implementera detta korrekt kräver en tydlig arkitektonisk skillnad mellan backenddrivna och frontenddrivna program för att säkerställa att lämplig "hemlig" policy tillämpas utan att bryta autentiseringshandslaget.

            Rekommenderad åtgärd

            För klienter på privat/serversida, välj både "Kräv hemlighet för webbserverflöde" och "Kräv hemlighet för uppdateringstokenflöde"; För offentliga/mobila klienter, avmarkera dessa alternativ och implementera PKCE istället.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning lyfter fram att säkerheten för en hemlighet helt beror på klientens förmåga att skydda den, och kräver att inga delade hemligheter någonsin exponeras för webbläsaren eller mobilmiljön.

            Se även:

             
            Laddar
            Salesforce Help | Article