Loading
Configurar e manter a sua organização do Salesforce
Índice
Filtrar por (0)Adicionar
Selecionar filtros

          Sem resultados
          Sem resultados
          Aqui estão algumas dicas de pesquisa

          Verifique a grafia das palavras-chave.
          Tente utilizar termos mais genéricos.
          Selecione menos filtros para ampliar sua pesquisa.

            Pesquisar em toda a Ajuda do Salesforce
            Pesquisar em toda a Ajuda do Salesforce
            API (Habilitar configurações do OAuth): Exigir segredo para atualizar o fluxo de tokens

            Você está aqui:

            1. Ajuda do Salesforce
            2. Documentação
            3. Configurar e manter a sua organização do Salesforce

            API (Habilitar configurações do OAuth): Exigir segredo para atualizar o fluxo de tokens

            Esse controle exige que um aplicativo cliente confidencial forneça seu Segredo do cliente ao trocar um token de atualização por um novo token de acesso para verificar a identidade do cliente.

            Nome do controle

            Aplicativo conectado: API (Habilitar configurações do OAuth): Exigir segredo para atualizar o fluxo de tokens

            Configuração recomendada

            Exigir segredo para atualizar o fluxo de token.

            Visão geral de controle

            Esse controle exige que um aplicativo cliente confidencial forneça seu Segredo do cliente ao trocar um token de atualização por um novo token de acesso para verificar a identidade do cliente.

            Risco de segurança, se não configurado

            Um invasor que rouba um token de atualização pode obter novos tokens de acesso indefinidamente sem precisar das credenciais privadas do aplicativo, ignorando de modo eficaz um fator crítico de autenticação.

            Cenários de ameaça

            Um invasor extrai um token de atualização de um dispositivo móvel ou arquivo de registro comprometido e o usa de um servidor separado e não autorizado para manter o acesso persistente e "autônomo" aos dados do Salesforce do usuário.

            Intervalo de pontuação de CVSS estimado

            Crítico (9.0 a 10.0).

            Considerações sobre impacto de risco

            A falha em exigir um segredo permite a persistência de longo prazo não detectada no ambiente, estendendo significativamente a duração de uma violação de dados além da vida da sessão inicial.

            Risco maior quando

            Os tokens de atualização não têm data de expiração ou quando o aplicativo conectado está associado a usuários de integração de alto privilégio que podem acessar PII confidenciais ou metadados do sistema.

            Baixo risco quando

            Se a opção Atualizar rotação de token estiver habilitada, isso garantirá que qualquer token de atualização roubado seja tornado inútil imediatamente após seu primeiro uso não autorizado.

            Considerações de negócios e integração

            A aplicação desse requisito pode interromper integrações legadas ou aplicativos móveis que não foram projetados para armazenar ou transmitir um segredo do cliente durante o processo de atualização em segundo plano.

            Remediação recomendada

            Acesse as Configurações do OAuth do aplicativo conectado e marque a caixa de seleção "Exigir segredo para atualizar o fluxo de token".

            Diretriz de revisão de saúde de segurança

            A Análise de integridade de segurança identifica esse controle como uma defesa vital contra a persistência da sessão, de modo que um token roubado sozinho é insuficiente para manter um backdoor permanente na organização.

            Consulte também:

             
            Carregando
            Salesforce Help | Article