Loading
Sikre Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            API (Aktiver OAuth-innstillinger): Utstede JSON-nettokenbaserte tilgangstokener (JWT) for Navngitt brukerkontroll

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Sikre Salesforce-organisasjonen

            API (Aktiver OAuth-innstillinger): Utstede JSON-nettokenbaserte tilgangstokener (JWT) for Navngitt brukerkontroll

            Denne sikkerhetsinnstillingen overfører Salesforce-godkjenningsserveren fra å utstede opaque, referansebaserte tilgangstokener til å utstede frittstående, kryptografisk signert JSON-netttokener.

            Navn på kontroll

            Tilkoblede apper: API (Aktiver OAuth-innstillinger): Utstede JSON-nettokenbaserte tilgangstokener (JWT) for navngitte brukere

            Anbefalt konfigurasjon

            Utsted JSON Web Token (JWT)-baserte tilgangstokener for navngitte brukere.

            Oversikt over kontroll

            Denne sikkerhetsinnstillingen overfører Salesforce-godkjenningsserveren fra å utstede opaque, referansebaserte tilgangstokener til å utstede frittstående, kryptografisk signerte JSON-netttokener som inkluderer brukeridentitet og tillatelseskrav.

            Sikkerhetsrisiko hvis ikke konfigurert

            Fraværet av riktig håndhevede JWT-tilgangstokener for økter i tilkoblede apper fører til en sårbarhet der eldre tokenformater er mer utsatt for forfalskning og uautorisert intern ressurstilgang via oppfangede øktidentifikatorer.

            Trusselscenarier

            En angriper fanger opp en ukryptert øktidentifikator og forsøker å spille den på nytt mot API-nivået fordi systemet ikke krever et strukturert, signert token som kan valideres mot en bestemt fellesnøkkel og et utløpstidsstempel.

            Beregnet CVSS Score-område

            Høyt (7.0–8,9).

            Viktige punkter om risikoinnvirkning

            Mislykket bruk av signerte JWT-er hindrer det eksterne programmet i å lokalt validere tokenens autentisitet og integritet, noe som øker avhengigheten av godkjenningsserveren for hver valideringsforespørsel og potensielt forsinker oppdagelsen av kompromitterte økter.

            Høyere risiko når

            Når integrasjonen bruker oppdateringstokener med lang levetid, eller når organisasjonens metadata vises via tokenbelastningen uten tilstrekkelig kryptografisk beskyttelse.

            Lav risiko når

            Hvis organisasjonen krever korttokenlivssykluser og bruker unike digitale sertifikater for hvert distinkt eksternt klientprogram for å sikre isolering av signeringsnøklene.

            Viktige punkter om virksomheten og integrasjonen

            Implementering av JWT-baserte tokener krever at det forbrukende programmet har et JWT-bibliotek som kan analysere toppteksten, belastningen og signaturen for å bekrefte kravsettet før data behandles.

            Anbefalt rettelse

            Gå til OAuth-policyer for den tilkoblede appen, og velg alternativet Utsted JSON-baserte (JWT)-tilgangstokener for navngitte brukere.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsvurdering identifiserer bruken av JWT-baserte tilgangstokener som en sterkt anbefalt standard for å sikre at alle øktdeklarasjoner er signert og kan kontrolleres for å hindre tokenforfalskning og uautorisert ressurstilgang.

            Se også:

             
            Laster
            Salesforce Help | Article