Loading
Opsæt og vedligehold din Salesforce-organisation
Indhold
Filtrer efter (0)Tilføj
Vælg filtre

          Ingen resultater
          Ingen resultater
          Her er nogle søgetips

          Kontroller stavemåden for dine søgeord.
          Brug mere generelle søgeudtryk.
          Vælg færre filtre for at gøre søgningen bredere.

            Søg efter alle i Hjælp til Salesforce
            Søg efter alle i Hjælp til Salesforce
            API (Aktiver OAuth-indstillinger): Krav hemmelighed for Opdater tokenforløb

            breadcrumbDescription

            1. helpHomeLinkText
            2. docsHomeLinkTextShort
            3. Opsæt og vedligehold din Salesforce-organisation

            API (Aktiver OAuth-indstillinger): Krav hemmelighed for Opdater tokenforløb

            Denne kontrol kræver, at en fortrolig klientapplikation skal angive sin klienthemmelighed, når der udveksles et opdateringstoken for et nyt adgangstoken for at bekræfte klientens identitet.

            Kontrolnavn

            Tilsluttet app: API (Aktiver OAuth-indstillinger): Krav hemmelighed for Opdater tokenforløb

            Anbefalet konfiguration

            Kræv hemmelighed for Opdater tokenforløb.

            Kontroller oversigt

            Denne kontrol kræver, at en fortrolig klientapplikation skal angive sin klienthemmelighed, når der udveksles et opdateringstoken for et nyt adgangstoken for at bekræfte klientens identitet.

            Sikkerhedsrisiko, hvis den ikke er konfigureret

            En angriber, der stjæler et opdateringstoken, kan få nye adgangstokener på ubestemt tid uden at skulle bruge applikationens private legitimationsoplysninger, hvilket effektivt tilsidesætter en vigtig godkendelsesfaktor.

            Trusselscenarier

            En angriber udtrækker et opdateringstoken fra en kompromitteret mobilenhed eller logfil og bruger det fra en separat, uautoriseret server til at vedligeholde vedvarende "hovedløs" adgang til brugerens Salesforce-data.

            Estimeret CVSS-scoringsinterval

            Kritisk (9,0-10,0).

            Overvejelser i forbindelse med risikopåvirkning

            Det at undlade at kræve en hemmelighed aktiverer langsigtet, ikke-registreret bevarelse i miljøet, hvilket i væsentlig grad udvider varigheden af et databrud ud over levetiden for den indledende session.

            Højere risiko når

            Opdateringstokener har ingen udløbsdato, eller når den tilsluttede app er knyttet til højrettighedsintegrationsbrugere, der kan få adgang til følsomme personligt identificerbare oplysninger eller systemmetadata.

            Lav risiko når

            Hvis Opdater tokenrotation er aktiveret, da dette sikrer, at ethvert stjålet opdateringstoken gøres ubrugeligt umiddelbart efter dets første uautoriserede brug.

            Overvejelser i forbindelse med forretning og integration

            Håndhævelse af dette krav kan afbryde ældre integrationer eller mobilapps, der ikke er designet til at lagre eller overføre en klienthemmelighed under baggrundsopdateringsprocessen.

            Anbefalet rettelse

            Gå til OAuth-indstillinger for den tilsluttede app, og marker afkrydsningsfeltet for "Kræv hemmelighed for opdateringstokenforløb".

            Vejledning til sikkerhedstilstandsgennemgang

            Sikkerhedstilstandscheck identificerer denne kontrol som et vigtigt forsvar mod sessionopbevaring, så et stjålet token alene er utilstrækkeligt til at vedligeholde en permanent bagdør i organisationen.

            Related information html

             
            Indlæser
            Salesforce Help | Article