Sie befinden sich hier:
API (OAuth-Einstellungen aktivieren): Ausstellen von JSON-Webtoken (JWT)-basierten Zugriffstoken für die Steuerung durch benannte Benutzer
Diese Sicherheitseinstellung stellt den Salesforce-Autorisierungsserver von der Ausstellung opaker referenzbasierter Zugriffstoken auf die Ausstellung eigenständiger kryptographisch signierter JSON-Webtoken um.
Steuerelementname
Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Ausstellen von JSON-Webtoken (JWT)-basierten Zugriffstoken für benannte Benutzer
Empfohlene Konfiguration
Stellen Sie JSON-Webtoken-basierte Zugriffstoken für benannte Benutzer aus.
Steuerelementübersicht
Diese Sicherheitseinstellung stellt den Salesforce-Autorisierungsserver von der Ausstellung opaker referenzbasierter Zugriffstoken auf die Ausstellung eigenständiger kryptographisch signierter JSON-Webtoken um, die Benutzeridentität und Berechtigungsansprüche enthalten.
Sicherheitsrisiko, wenn nicht konfiguriert
Das Fehlen ordnungsgemäß erzwungener JWT-Zugriffstoken für Sitzungen verbundener Anwendungen führt zu einer Schwachstelle, bei der ältere Tokenformate anfälliger für Fälschungen und nicht autorisierten internen Ressourcenzugriff über abgefangene Sitzungskennzeichner sind.
Bedrohungsszenarien
Ein Angreifer fängt einen unverschlüsselten Sitzungskennzeichner ab und versucht, ihn mit der API-Stufe wiederzugeben, da das System kein strukturiertes signiertes Token benötigt, das mit einem bestimmten öffentlichen Schlüssel und einem Ablaufzeitstempel validiert werden kann.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn keine signierten JWTs verwendet werden, wird verhindert, dass die externe Anwendung die Authentizität und Integrität des Tokens lokal validiert, wodurch die Abhängigkeit vom Autorisierungsserver bei jeder Validierungsanforderung erhöht und die Erkennung kompromittierter Sitzungen möglicherweise verzögert wird.
Höheres Risiko, wenn
Wenn die Integration langlebige Aktualisierungstoken verwendet oder wenn die Organisationsmetadaten über die Tokennutzlast ohne ausreichenden kryptografischen Schutz verfügbar gemacht werden.
Geringes Risiko, wenn
Wenn die Organisation kurze Tokenlebenszyklen vorschreibt und für jede unterschiedliche externe Client-Anwendung eindeutige digitale Zertifikate verwendet, um die Isolation der Signierschlüssel sicherzustellen.
Überlegungen zu Unternehmen und Integration
Für die Implementierung von JWT-basierten Token muss die verbrauchende Anwendung über eine JWT-Bibliothek verfügen, die in der Lage ist, die Kopfzeile, die Nutzlast und die Signatur zu analysieren, um den Anspruchssatz vor der Verarbeitung von Daten zu überprüfen.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Richtlinien für die verbundene Anwendung und wählen Sie die Option zum Ausstellen von JSON-Webtoken (JWT) für benannte Benutzer aus.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Verwendung von JWT-basierten Zugriffstoken als dringend empfohlenen Standard, um sicherzustellen, dass alle Sitzungsbehauptungen signiert und überprüfbar sind, um Tokenfälschung und Zugriff auf nicht autorisierte Ressourcen zu verhindern.
