Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Emitir tokens de acceso basados en tokens web JSON (JWT) para el control de usuarios nombrados
Esta configuraciĆ³n de seguridad hace que el servidor de autorizaciĆ³n de Salesforce pase de emitir tokens de acceso basados en referencias opacos a emitir tokens web JSON independientes firmados criptogrĆ”ficamente.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Emitir tokens de acceso basados en tokens web JSON (JWT) para usuarios nombrados
ConfiguraciĆ³n recomendada
Emita tokens de acceso basados en tokens web JSON (JWT) para usuarios nombrados.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad hace que el servidor de autorizaciĆ³n de Salesforce pase de emitir tokens de acceso basados en referencias opacos a emitir tokens web JSON independientes firmados criptogrĆ”ficamente que incluyen reclamaciones de permisos e identidad de usuario.
Riesgo de seguridad si no estĆ” configurado
La ausencia de tokens de acceso JWT aplicados correctamente para sesiones de aplicaciĆ³n conectada conduce a una vulnerabilidad donde los formatos de token heredados son mĆ”s susceptibles a la falsificaciĆ³n y el acceso a recursos internos no autorizado a travĆ©s de identificadores de sesiĆ³n interceptados.
Escenarios de amenazas
Un atacante intercepta un identificador de sesiĆ³n no cifrado e intenta reproducirlo en el nivel de API porque el sistema no requiere un token estructurado y firmado que pueda validarse con una clave pĆŗblica especĆfica y una marca de tiempo de caducidad.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
La no utilizaciĆ³n de JWT firmados evita que la aplicaciĆ³n externa valide localmente la autenticidad e integridad del token, aumentando la dependencia del servidor de autorizaciĆ³n para cada solicitud de validaciĆ³n y posiblemente retrasando la detecciĆ³n de sesiones comprometidas.
Mayor riesgo cuando
Cuando la integraciĆ³n utiliza tokens de actualizaciĆ³n duraderos o cuando los metadatos de la organizaciĆ³n se exponen a travĆ©s de la carga de token sin suficiente protecciĆ³n criptogrĆ”fica.
Bajo riesgo cuando
Si la organizaciĆ³n requiere ciclos de vida de tokens cortos y utiliza certificados digitales exclusivos para cada aplicaciĆ³n cliente externa distinta para garantizar el aislamiento de las claves de firma.
Consideraciones de negocio e integraciĆ³n
La implementaciĆ³n de tokens basados en JWT requiere que la aplicaciĆ³n consumidora posea una biblioteca JWT capaz de analizar el encabezado, la carga y la firma para verificar el conjunto de reclamaciones antes de procesar los datos.
RemediaciĆ³n recomendada
Vaya a PolĆticas de OAuth para la aplicaciĆ³n conectada y seleccione la opciĆ³n para emitir tokens de acceso basados en tokens web JSON (JWT) para usuarios nombrados.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica el uso de tokens de acceso basados en JWT como un estĆ”ndar altamente recomendado para asegurarse de que todas las afirmaciones de sesiĆ³n estĆ”n firmadas y son verificables para evitar la falsificaciĆ³n de tokens y el acceso a recursos no autorizado.
