Ti trovi qui:
API (Abilita impostazioni OAuth): emissione di token di accesso basati su JWT (JSON Web Token) per gli utenti denominati
Questa impostazione di protezione trasforma il server di autorizzazione Salesforce dall'emissione di token di accesso opachi basati su riferimenti all'emissione di token Web JSON autonomi firmati crittograficamente.
Nome controllo
Applicazioni connesse: API (Abilita impostazioni OAuth): Emissione di token di accesso basati su JWT (JSON Web Token) per gli utenti denominati
Configurazione consigliata
Emettere token di accesso basati su JWT (JSON Web Token) per gli utenti denominati.
Panoramica sul controllo
Questa impostazione di sicurezza trasforma il server di autorizzazione Salesforce dall'emissione di token di accesso opachi basati su riferimenti all'emissione di token Web JSON autonomi firmati crittografatamente che includono l'identità dell'utente e le richieste di autorizzazione.
Rischio per la sicurezza se non configurato
L'assenza di token di accesso JWT applicati correttamente per le sessioni dell'applicazione connessa causa una vulnerabilità in cui i formati dei token legacy sono più suscettibili di contraffazione e l'accesso alle risorse interne non autorizzato tramite identificatori di sessione intercettati.
Scenari di minaccia
Un aggressore intercetta un identificatore di sessione non crittografato e tenta di riprodurlo rispetto al livello API poiché il sistema non richiede un token strutturato e firmato che può essere convalidato in base a una chiave pubblica e a un'indicazione oraria di scadenza specifiche.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
Il mancato utilizzo dei JWT firmati impedisce all'applicazione esterna di convalidare localmente l'autenticità e l'integrità del token, aumentando la dipendenza dal server di autorizzazione per ogni richiesta di convalida e potenzialmente ritardando il rilevamento delle sessioni compromesse.
Rischio maggiore quando
Quando l'integrazione utilizza token di aggiornamento di lunga durata o quando i metadati dell'organizzazione vengono esposti tramite il payload del token senza una protezione crittografica sufficiente.
Basso rischio quando
Se l'organizzazione impone cicli di vita brevi dei token e utilizza certificati digitali univoci per ogni applicazione client esterna distinta per garantire l'isolamento delle chiavi di firma.
Considerazioni su Business e integrazione
L'implementazione dei token basati su JWT richiede che l'applicazione che consuma disponga di una libreria JWT in grado di analizzare l'intestazione, il payload e la firma per verificare l'insieme di richieste prima di elaborare i dati.
Rimedio consigliato
Accedere alle policy OAuth per l'applicazione connessa e selezionare l'opzione Emetti token di accesso basati su JWT per gli utenti denominati.
Guida all'esame dello stato della sicurezza
Security Health Review identifica l'uso dei token di accesso basati su JWT come uno standard fortemente consigliato per assicurarsi che tutte le asserzioni della sessione siano firmate e verificabili per impedire la falsificazione dei token e l'accesso non autorizzato alle risorse.
