Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            API (Abilita impostazioni OAuth): Richiedi segreto per il flusso del token di aggiornamento

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            API (Abilita impostazioni OAuth): Richiedi segreto per il flusso del token di aggiornamento

            Questo controllo richiede che un'applicazione client riservata fornisca il proprio segreto client quando si scambia un token di aggiornamento con un nuovo token di accesso per verificare l'identità del client.

            Nome controllo

            Applicazione connessa: API (Abilita impostazioni OAuth): Richiedi segreto per il flusso del token di aggiornamento

            Configurazione consigliata

            Richiede segreto per il flusso del token di aggiornamento.

            Panoramica sul controllo

            Questo controllo richiede che un'applicazione client riservata fornisca il proprio segreto client quando si scambia un token di aggiornamento con un nuovo token di accesso per verificare l'identità del client.

            Rischio per la sicurezza se non configurato

            Un aggressore che ruba un token di aggiornamento può ottenere nuovi token di accesso all'infinito senza bisogno delle credenziali private dell'applicazione, ignorando di fatto un fattore di autenticazione critico.

            Scenari di minaccia

            Un aggressore estrae un token di aggiornamento da un dispositivo mobile o da un file di registro compromesso e lo utilizza da un server separato e non autorizzato per mantenere un accesso "headless" persistente ai dati Salesforce dell'utente.

            Intervallo di punteggi CVSS stimato

            Critico (9.0–10.0).

            Considerazioni sull'impatto del rischio

            La mancata richiesta di un segreto consente una persistenza a lungo termine non rilevata nell'ambiente, estendendo in modo significativo la durata di una violazione dei dati oltre la durata della sessione iniziale.

            Rischio maggiore quando

            I token di aggiornamento non hanno una data di scadenza o quando l'applicazione connessa è associata a utenti integrazione con privilegi elevati che possono accedere a informazioni personali sensibili o metadati di sistema.

            Basso rischio quando

            Se è abilitata la rotazione del token di aggiornamento, in modo che tutti i token di aggiornamento rubati vengano resi inutilizzabili immediatamente dopo il loro primo utilizzo non autorizzato.

            Considerazioni su Business e integrazione

            L'applicazione di questo requisito può interrompere le integrazioni precedenti o le app mobili che non sono state progettate per memorizzare o trasmettere un segreto client durante il processo di aggiornamento in background.

            Rimedio consigliato

            Accedere alle impostazioni OAuth dell'applicazione connessa e selezionare la casella di controllo "Richiedi segreto per il flusso del token di aggiornamento".

            Guida all'esame dello stato della sicurezza

            Security Health Review identifica questo controllo come una difesa essenziale contro la persistenza della sessione, in modo che un token rubato da solo non sia sufficiente per mantenere una backdoor permanente nell'organizzazione.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article