Vous êtes ici :
API (Activer les paramètres OAuth) : Activer les jetons d'actif
Les jetons d'actif sont une méthode d'authentification spécialisée basée sur JWT qui associe une session Salesforce directement à un appareil physique ou un « actif » spécifique.
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Activer les jetons d'actif
Configuration recommandée
Activez Jetons d'actif.
Vue d'ensemble du contrôle
Les jetons d'actif sont une méthode d'authentification basée sur JWT spécialisée qui associe une session Salesforce directement à un appareil physique ou un « actif » spécifique, pas seulement à un utilisateur, fournissant une identité précise pour l'Internet des objets (IoT).
Risque de sécurité s'il n'est pas configuré
Sans jetons d'actif, les entreprises se rabattent souvent sur les identifiants de compte de service génériques des appareils, qui ne peuvent pas vérifier si le matériel demandeur est l'appareil spécifique et autorisé qu'elles prétendent être.
Scénarios de menace
Un assaillant « clone » les identifiants à partir d'un appareil Internet des objets légitime et les utilise pour enregistrer un appareil malhonnête et non autorisé qui envoie des données de capteur frauduleuses ou extrait des données télémétriques confidentielles de votre organisation Salesforce.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'absence d'identité au niveau de l'appareil entraîne une perte d'intégrité des données et une « non-répudiation », ce qui rend impossible de prouver quel matériel spécifique a exécuté une action ou a accédé à un enregistrement.
Risque plus élevé quand
Le risque est significativement plus élevé lorsque les appareils sont déployés dans des environnements physiques non sécurisés (tels que des kiosques publics ou des capteurs distants) où le matériel peut être altéré ou le stockage local peut être supprimé pour des identifiants statiques.
Risque faible quand
Le risque est moindre lorsque les jetons d'actif sont implémentés avec l'authentification basée sur le certificat, en s'assurant que l'appareil doit prouver la possession d'une clé privée liée au matériel unique pour recevoir un jeton.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de jetons d'actif nécessite une stratégie de « provisionnement d'appareil », qui vérifie que chaque actif physique est correctement enregistré en tant qu'enregistrement Asset dans Salesforce avant de tenter de s'authentifier.
Remédiation recommandée
Accédez aux Paramètres OAuth de l'application connectée, cochez la case « Activer les jetons d'actif », puis configurez le Gestionnaire de jeton d'actif (Apex) pour valider les réclamations d'appareil entrantes.
Guide d'examen sanitaire de sécurité
Security Health Review identifie les jetons d'actif comme la norme de référence pour la sécurité « Appareil en tant qu'utilisateur », ce qui éloigne les organisations des comptes de service partagés vers une identité unique et vérifiable pour chaque point de terminaison physique.
