您在此处:
API(启用 OAuth 设置):启用 OAuth 设置
在 Salesforce 连接的应用程序中启用 OAuth 设置允许应用程序使用安全的、基于令牌的授权协议和粒度范围。
控件名称
连接的应用程序:API(启用 OAuth 设置):启用 OAuth 设置
推荐配置
启用 OAuth 设置 - 已选择。
控制概览
在 Salesforce 连接的应用程序中启用 OAuth 设置允许应用程序使用安全的、基于令牌的授权协议和粒度范围,而不是依赖不太安全的原有凭据共享方法。
安全风险(如果未配置)
连接的应用程序无法使用 OAuth 2.0,迫使使用不太安全的方法,例如原有会话 ID 或硬编码凭据。这种缺乏标准化授权的情况阻碍了精细访问控制的实施,使集成没有保护层的范围、刷新令牌策略或多重身份验证。
威胁场景
攻击者可以通过中间人攻击获取静态凭据。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
如果不启用 OAuth 设置,您将失去管理可见性和撤销控制(例如,OAuth 会话)。
高风险
当敏感数据必须由面向公众的应用程序访问时,由于缺乏 OAuth 保护,这意味着任何拦截的凭据都提供对用户完全权限的不受限制的访问。
低风险
如果应用程序严格用于非 API 功能,例如基于 SAML 的单点登录,其中身份验证通过单独、安全的身份提供商握手处理。
业务和集成注意事项
虽然为原有系统设置更简单,但禁用这些设置会产生严重的技术障碍,导致无法使用现代可扩展的 Salesforce 功能,例如无头身份和 REST API。
建议的补救措施
在连接的应用程序中打开“OAuth 设置”,使用授权代码或 JWT 不记名流建立安全握手,确保所有 API 流量受粒度范围和 PKCE 的控制。
安全健康审查指导
安全运行状况审查建议将此作为连接的应用程序的必备基本设置。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
