U bent hier:
API (OAuth-instellingen inschakelen): Op JWT (JSON Web Token) gebaseerde toegangstokens voor benoemde gebruikers uitgeven
Met deze beveiligingsinstelling wordt de Salesforce-autorisatieserver overgezet van het uitgeven van ondoorzichtige, op verwijzingen gebaseerde toegangstokens naar het uitgeven van zelfstandige, cryptografisch ondertekende JSON-webtokens.
Controlenaam
Verbonden apps: API (OAuth-instellingen inschakelen): Op JWT (JSON Web Token) gebaseerde toegangstokens uitgeven voor benoemde gebruikers
Aanbevolen configuratie
Geef op JWT (JSON Web Token) gebaseerde toegangstokens uit voor bij naam genoemde gebruikers.
Overzicht van besturingselementen
Met deze beveiligingsinstelling wordt de Salesforce-autorisatieserver overgezet van het uitgeven van ondoorzichtige, op verwijzingen gebaseerde toegangstokens naar het uitgeven van zelfstandige, cryptografisch ondertekende JSON-webtokens die gebruikersidentiteit en machtigingsclaims bevatten.
Beveiligingsrisico indien niet geconfigureerd
De afwezigheid van correct afgedwongen JWT-toegangstokens voor verbonden app-sessies leidt tot een kwetsbaarheid waarbij verouderde tokennotaties gevoeliger zijn voor vervalsing en ongeoorloofde toegang tot interne resources via onderschepte sessie-ID's.
Dreigingsscenario's
Een aanvaller onderschept een niet-versleutelde sessie-identifier en probeert deze opnieuw af te spelen op de API-laag, omdat het systeem geen gestructureerd, ondertekend token vereist dat kan worden gevalideerd op basis van een specifieke openbare sleutel en een specifiek vervaltijdstempel.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als ondertekende JWT's niet worden gebruikt, kan de externe toepassing de authenticiteit en integriteit van het token niet lokaal valideren, waardoor de afhankelijkheid van de autorisatieserver voor elk validatieverzoek wordt vergroot en de detectie van gecompromitteerde sessies mogelijk wordt vertraagd.
Hoger risico wanneer
Wanneer de integratie lang bestaande vernieuwingstokens gebruikt of wanneer de metagegevens van de organisatie zichtbaar zijn via de tokenpayload zonder voldoende cryptografische bescherming.
Laag risico wanneer
Als de organisatie korte tokenlevenscycli verplicht stelt en unieke digitale certificaten gebruikt voor elke afzonderlijke externe clienttoepassing om te zorgen voor isolatie van de ondertekeningssleutels.
Overwegingen bij bedrijf en integratie
Het implementeren van op JWT gebaseerde tokens vereist dat de verbruikende toepassing een JWT-bibliotheek heeft die de header, payload en handtekening kan parseren om de claimset te verifiëren voordat gegevens worden verwerkt.
Aanbevolen oplossing
Ga naar de OAuth-beleidsvormen voor de verbonden app en selecteer de optie om op JWT (JSON Web Token) gebaseerde toegangstokens uit te geven aan benoemde gebruikers.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het gebruik van op JWT gebaseerde toegangstokens als een sterk aanbevolen standaard om ervoor te zorgen dat alle sessiedefinities zijn ondertekend en verifieerbaar om tokenvervalsing en ongeoorloofde toegang tot resources te voorkomen.
