Loading
Opsæt og vedligehold din Salesforce-organisation
Indhold
Filtrer efter (0)Tilføj
Vælg filtre

          Ingen resultater
          Ingen resultater
          Her er nogle søgetips

          Kontroller stavemåden for dine søgeord.
          Brug mere generelle søgeudtryk.
          Vælg færre filtre for at gøre søgningen bredere.

            Søg efter alle i Hjælp til Salesforce
            Søg efter alle i Hjælp til Salesforce
            API (Aktiver OAuth-indstillinger): Udsted JSON Web Token-baserede adgangstokener (JWT) for navngivne brugere

            breadcrumbDescription

            1. helpHomeLinkText
            2. docsHomeLinkTextShort
            3. Opsæt og vedligehold din Salesforce-organisation

            API (Aktiver OAuth-indstillinger): Udsted JSON Web Token-baserede adgangstokener (JWT) for navngivne brugere

            Denne sikkerhedsindstilling overfører Salesforce-autorisationsserveren fra at udstede uigennemsigtige, referencebaserede adgangstokener til at udstede selvstændige, kryptografisk signerede JSON-webtokener.

            Kontrolnavn

            Tilsluttede apps: API (Aktiver OAuth-indstillinger): Udsted JSON Web Token-baserede adgangstokener (JWT) for navngivne brugere

            Anbefalet konfiguration

            Udsted JSON Web Token-baserede adgangstokener (JWT) for navngivne brugere.

            Kontroller oversigt

            Denne sikkerhedsindstilling overfører Salesforce-autorisationsserveren fra at udstede uigennemsigtige, referencebaserede adgangstokener til at udstede selvstændige, kryptografisk signerede JSON-webtokener, der inkluderer brugeridentitets- og tilladelseskrav.

            Sikkerhedsrisiko, hvis den ikke er konfigureret

            Fraværet af korrekt håndhævede JWT-adgangstokener for tilsluttede appsessioner fører til en sårbarhed, hvor ældre tokenformater er mere tilbøjelige til forfalskning og uautoriseret intern ressourceadgang gennem opfangede sessionsidentifikatorer.

            Trusselscenarier

            En angriber opfanger et ukrypteret sessions-id og forsøger at afspille det op mod API-niveauet, fordi systemet ikke kræver et struktureret, signeret token, der kan valideres op mod en bestemt offentlig nøgle og udløbstidsstempel.

            Estimeret CVSS-scoringsinterval

            Høj (7,0-8,9).

            Overvejelser i forbindelse med risikopåvirkning

            Manglende brug af signerede JWT'er forhindrer den eksterne applikation i lokalt at validere godkendelsen og integriteten af tokenet, hvilket øger afhængigheden af autorisationsserveren for hver valideringsanmodning og potentielt forsinker registreringen af kompromitterede sessioner.

            Højere risiko når

            Når integrationen bruger opdateringstokener med lang levetid, eller når organisationsmetadata vises via token-data uden tilstrækkelig kryptografisk beskyttelse.

            Lav risiko når

            Hvis organisationen bekræfter korte tokenlivscyklusser og bruger unikke digitale certifikater for hver særskilt ekstern klientapplikation for at sikre isolering af signeringsnøglerne.

            Overvejelser i forbindelse med forretning og integration

            Implementering af JWT-baserede tokener kræver, at den forbrugende applikation har et JWT-bibliotek, der kan parse sidehovedet, dataene og signaturen for at bekræfte kravsættet, før der behandles data.

            Anbefalet rettelse

            Gå til OAuth-politikker for den tilsluttede app, og vælg indstillingen Udsted JSON Web Token-baserede adgangstokener (JWT) for navngivne brugere.

            Vejledning til sikkerhedstilstandsgennemgang

            Sikkerhedstilstandscheck identificerer brugen af JWT-baserede adgangstokener som en stærkt anbefalet standard for at sikre, at alle sessionpåstande er signeret og kan bekræftes for at forhindre tokenforfalskning og uautoriseret ressourceadgang.

            Related information html

             
            Indlæser
            Salesforce Help | Article