Olet tässä:
API (Ota OAuth-asetukset käyttöön): JWT-käyttöoikeusvaltuuksien (JSON Web Token) myöntäminen nimetyille käyttäjille
Tämä suojausasetus siirtää Salesforcen valtuutuspalvelimen antamasta läpinäkymättömiä ja viitteisiin perustuvia käyttöoikeusvaltuuksia antamaan itseään sisältäviä, kryptografisesti allekirjoitettuja JSON-verkkotunnuksia.
Ohjaimen nimi
Yhdistetyt sovellukset: API (Ota OAuth-asetukset käyttöön): Jäsentää JSON Web Token (JWT) -pohjaisia käyttöoikeusvaltuuksia nimetylle käyttäjälle
Suositeltu kokoonpano
Myönnä nimetyille käyttäjille JSON Web Token (JWT) -pohjaisia käyttöoikeusvaltuuksia.
Ohjauksen yleiskatsaus
Tämä suojausasetus siirtää Salesforcen valtuutuspalvelimen antamasta läpinäkymättömiä, viitteisiin perustuvia käyttöoikeusvaltuuksia ja antamaan itsenäisiä, kryptografisesti allekirjoitettuja JSON-verkkotunnuksia, jotka sisältävät käyttäjän henkilöllisyyden ja käyttöoikeusvaatimukset.
Tietoturvariski, jos ei määritetty
Yhdistettyjen sovellusten istuntojen JWT-käyttöoikeusvaltuuksien puute aiheuttaa haavoittuvuuden, jossa vanhat valtuusformaatit ovat alttiimpia väärentämiselle ja valtuuttamattomalle sisäiselle resurssille istuntotunnisteiden kautta.
Uhkien skenaariot
Hyökkääjä kaappaa salaamattoman istunnon tunnisteen ja yrittää toistaa sen API-tasolla, koska järjestelmä ei vaadi rakenteellista allekirjoitettua valtuutta, joka voidaan vahvistaa tietyn julkisen avaimen ja vanhentumisen aikaleiman perusteella.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Allekirjoitettujen JWT-valtuuksien käyttäminen estää ulkoista sovellusta vahvistamasta valtuuden todennetta ja eheyttä paikallisesti, mikä lisää luottamusta valtuutuspalvelimeen jokaiselle vahvistuspyynnölle ja saattaa viivästyttää vaarantuneiden istuntojen havaitsemista.
Korkeampi riski, kun
Kun integraatio käyttää pitkäaikaisia päivitysvaltuuksia tai kun organisaation metadata paljastuu valtuuksien tietosisällön kautta ilman riittävää salaussuojausta.
Matalan riskin milloin
Jos organisaatio vaatii lyhyitä valtuuksien elinkaareja ja käyttää yksilöllisiä digitaalisia sertifikaatteja jokaiselle erilliselle ulkoiselle asiakassovellukselle, jotta allekirjoitusavaimet ovat erillään.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
JWT-pohjaisten valtuuksien toteuttaminen vaatii, että kuluttavalla sovelluksella on JWT-kirjasto, joka voi jäsentää ylätunnisteen, tietosisällön ja allekirjoituksen vahvistaakseen vaatimusjoukon ennen tietojen käsittelyä.
Suositeltu korjaus
Avaa yhdistetyn sovelluksen OAuth-käytännöt ja valitse vaihtoehto Issue JSON Web Token (JWT) -pohjaisten käyttöoikeusvaltuuksien antamiseksi nimetylle käyttäjälle.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus tunnistaa JWT-käyttöoikeusvaltuuksien käytön vahvasti suositeltavana standardina varmistaakseen, että kaikki istuntojen vahvistukset on allekirjoitettu ja vahvistettavissa, jotta estetään valtuuksien väärentäminen ja resurssin valtuuttamattomat käyttöoikeudet.
