Vous êtes ici :
API (Activer les paramètres OAuth) : Émission de jetons d'accès basés sur JWT (JSON Web Token) pour les utilisateurs nommés
Ce paramètre de sécurité fait passer le serveur d'autorisation Salesforce de l'émission de jetons d'accès opaques basés sur une référence à l'émission de jetons Web JSON signés cryptographiquement autonomes.
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Émettre des jetons d'accès basés sur JWT (JSON Web Token) pour des utilisateurs nommés
Configuration recommandée
Émettez des jetons d'accès basés sur JWT (JSON Web Token) pour des utilisateurs nommés.
Vue d'ensemble du contrôle
Ce paramètre de sécurité transfère le serveur d'autorisation Salesforce de l'émission de jetons d'accès opaques basés sur une référence à l'émission de jetons Web JSON signés cryptographiquement et autonomes qui incluent des réclamations d'identité et d'autorisation utilisateur.
Risque de sécurité s'il n'est pas configuré
L'absence de jetons d'accès JWT correctement appliqués pour les sessions d'application connectée entraîne une vulnérabilité dans laquelle les formats de jeton hérités sont plus vulnérables à la falsification et à l'accès non autorisé aux ressources internes via des identifiants de session interceptés.
Scénarios de menace
Un assaillant intercepte un identifiant de session non crypté et tente de le rejouer avec le niveau d'API, car le système ne nécessite pas de jeton signé structuré qui peut être validé par rapport à une clé publique spécifique et à une date d'expiration.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'absence d'utilisation de JWT signés empêche l'application externe de valider localement l'authenticité et l'intégrité du jeton, ce qui augmente la dépendance au serveur d'autorisation pour chaque requête de validation et peut retarder la détection des sessions compromises.
Risque plus élevé quand
Lorsque l'intégration utilise des jetons d'actualisation de longue durée ou lorsque les métadonnées de l'organisation sont exposées via la charge de travail du jeton sans protection cryptographique suffisante.
Risque faible quand
Si l'organisation impose des cycles de vie de jeton courts et utilise des certificats numériques uniques pour chaque application cliente externe distincte afin d'isoler les clés de signature.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de jetons basés sur JWT nécessite que l'application consommatrice possède une bibliothèque JWT capable d'analyser l'en-tête, la charge utile et la signature pour vérifier l'ensemble de réclamations avant de traiter les données.
Remédiation recommandée
Accédez aux stratégies OAuth de l'application connectée, puis sélectionnez l'option Émettre des jetons d'accès basés sur JWT (JSON Web Token) pour les utilisateurs nommés.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation de jetons d'accès basés sur JWT comme une norme fortement recommandée pour s'assurer que toutes les assertions de session sont signées et vérifiables afin d'empêcher la falsification de jetons et l'accès non autorisé aux ressources.
