Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Emitir tokens de acceso basados en tokens web JSON (JWT) para el control de usuarios nombrados
Esta configuraciĆ³n de seguridad hace que el servidor de autorizaciĆ³n de Salesforce pase de emitir tokens de acceso opacos basados en referencias a emitir tokens web JSON independientes firmados criptogrĆ”ficamente.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Emitir tokens de acceso basados en tokens web de JSON (JWT) para usuarios nombrados
ConfiguraciĆ³n recomendada
Emita tokens de acceso basados en tokens web de JSON (JWT) para usuarios nombrados.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad hace que el servidor de autorizaciĆ³n de Salesforce pase de emitir tokens de acceso opacos basados en referencias a emitir tokens web JSON independientes firmados criptogrĆ”ficamente que incluyen reclamaciones de permisos e identidad de usuario.
Riesgo de seguridad si no estĆ” configurado
La ausencia de tokens de acceso JWT aplicados correctamente para sesiones de aplicaciĆ³n conectada conduce a una vulnerabilidad donde los formatos de token heredados son mĆ”s susceptibles a la falsificaciĆ³n y el acceso a recursos internos no autorizado a travĆ©s de identificadores de sesiĆ³n interceptados.
Escenarios de amenazas
Un atacante intercepta un identificador de sesiĆ³n no cifrado e intenta reproducirlo en el nivel de API porque el sistema no requiere un token estructurado y firmado que se pueda validar con una clave pĆŗblica especĆfica y una marca de tiempo de caducidad.
Intervalo de puntuaciĆ³n de CVSS estimado
Alto (7,0ā8,9).
Consideraciones sobre el impacto del riesgo
El fallo en el uso de JWT firmados evita que la aplicaciĆ³n externa valide localmente la autenticidad e integridad del token, aumentando la dependencia del servidor de autorizaciĆ³n para cada solicitud de validaciĆ³n y posiblemente retrasando la detecciĆ³n de sesiones comprometidas.
Riesgo mƔs alto cuando
Cuando la integraciĆ³n utiliza tokens de actualizaciĆ³n duraderos o cuando los metadatos de la organizaciĆ³n se exponen a travĆ©s de la carga de tokens sin suficiente protecciĆ³n criptogrĆ”fica.
Bajo riesgo cuando
Si la organizaciĆ³n impone ciclos de vida de tokens cortos y utiliza certificados digitales exclusivos para cada aplicaciĆ³n cliente externa distinta para garantizar el aislamiento de las claves de firma.
Consideraciones comerciales y de integraciĆ³n
La implementaciĆ³n de tokens basados en JWT requiere que la aplicaciĆ³n consumidora posea una biblioteca de JWT capaz de analizar el encabezado, la carga y la firma para verificar el conjunto de reclamaciones antes de procesar datos.
RemediaciĆ³n recomendada
Vaya a PolĆticas de OAuth para la aplicaciĆ³n conectada y seleccione la opciĆ³n para emitir tokens de acceso basados en tokens web de JSON (JWT) para usuarios nombrados.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica el uso de tokens de acceso basados en JWT como un estĆ”ndar altamente recomendado para asegurarse de que todas las afirmaciones de sesiĆ³n estĆ”n firmadas y son verificables para evitar la falsificaciĆ³n de tokens y el acceso a recursos no autorizado.
