Loading
Säkra din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            API (Aktivera OAuth-inställningar): Utfärda JSON Web Token (JWT)-baserade åtkomsttokens för namngivna användare

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Säkra din Salesforce-organisation

            API (Aktivera OAuth-inställningar): Utfärda JSON Web Token (JWT)-baserade åtkomsttokens för namngivna användare

            Denna säkerhetsinställning överför Salesforce-auktoriseringsservern från att utfärda ogenomskinliga, referensbaserade åtkomsttokens till att utfärda fristående, kryptografiskt signerade JSON-webbtokens.

            Kontrollnamn

            Anslutna appar: API (Aktivera OAuth-inställningar): Utfärda JSON Web Token-baserade åtkomsttokens (JWT) för namngivna användare

            Rekommenderad konfiguration

            Utfärda JSON Web Token-baserade åtkomsttokens (JWT) för namngivna användare.

            Kontrollöversikt

            Denna säkerhetsinställning överför Salesforce-auktoriseringsservern från att utfärda ogenomskinliga, referensbaserade åtkomsttokens till att utfärda fristående, kryptografiskt signerade JSON-webbtokens som inkluderar användaridentitet och behörighetsanspråk.

            Säkerhetsrisk om den inte är konfigurerad

            Frånvaron av korrekt tillämpade JWT-åtkomsttokens för anslutna appsessioner leder till en sårbarhet där äldre tokenformat är mer mottagliga för förfalskning och obehörig intern resursåtkomst genom avlyssnade sessionsidentifierare.

            Hotscenarier

            En attackerare fångar upp en okrypterad sessionsidentifierare och försöker spela upp den igen mot API-nivån eftersom systemet inte kräver en strukturerad, signerad token som kan valideras mot en specifik offentlig nyckel och tidsstämpel för utgångsdatum.

            Uppskattat CVSS-betygintervall

            Hög (7,0-8,9).

            Att tänka på vad gäller riskpåverkan

            Misslyckande med att använda signerade JWT:er förhindrar det externa programmet från att lokalt validera tokens äkthet och integritet, vilket ökar beroendet av auktoriseringsservern för varje valideringsbegäran och potentiellt försenar upptäckten av komprometterade sessioner.

            Högre risk när

            När integreringen använder långlivade uppdateringstokens eller när organisationens metadata exponeras via tokenbelastningen utan tillräckligt kryptografiskt skydd.

            Låg risk när

            Om organisationen kräver korta tokenlivscykler och använder unika digitala certifikat för varje unikt externt klientprogram för att säkerställa isolering av signeringsnycklarna.

            Att tänka på vad gäller affärer och integration

            Att implementera JWT-baserade tokens kräver att det konsumerande programmet har ett JWT-bibliotek som kan tolka sidhuvud, belastning och signatur för att verifiera anspråksuppsättningen innan data bearbetas.

            Rekommenderad åtgärd

            Gå till OAuth-policyer för den anslutna appen och välj alternativet att utfärda JSON Web Token-baserade åtkomsttokens (JWT) för namngivna användare.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning identifierar användningen av JWT-baserade åtkomsttokens som en starkt rekommenderad standard för att säkerställa att alla sessionskontroller är signerade och verifierbara för att förhindra tokenförfalskning och obehörig resursåtkomst.

            Se även:

             
            Laddar
            Salesforce Help | Article