Sie befinden sich hier:
API (OAuth-Einstellungen aktivieren): Sicherer Tokenaustausch-Flow
Diese Steuerung bestimmt, ob eine Client-Anwendung beim Austausch eines Drittanbieter-Tokens gegen ein Salesforce-Zugriffstoken ein Geheimnis bereitstellen muss.
Steuerelementname
Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Sicherer Tokenaustausch-Flow
Empfohlene Konfiguration
Aktivieren Sie Tokenaustausch-Flow. Legen Sie diese Option auf Kein Geheimnis für Token-Austausch-Flow erforderlich fest.
Steuerelementübersicht
Diese Steuerung bestimmt, ob eine Client-Anwendung beim Austausch eines Drittanbieter-Tokens (wie eines ID-Tokens eines externen Identitätsanbieters) gegen ein Salesforce-Zugriffstoken ein Geheimnis bereitstellen muss. Dies ermöglicht es insbesondere öffentlichen Clients, diese Anforderung zu umgehen, wenn sie Anmeldeinformationen nicht sicher speichern können.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn ein Geheimnis für öffentliche Clients fälschlicherweise erforderlich ist, müssen Entwickler sensible Anmeldeinformationen in Frontend-Code hartcodieren, wo sie gesammelt werden können. Umgekehrt können nicht autorisierte Server Austausche durchführen, ohne ihre Identität nachweisen zu müssen, wenn sie für private Clients nicht erforderlich sind.
Bedrohungsszenarien
Ein Angreifer extrahiert ein hartcodiertes Client-Geheimnis aus der Binärdatei einer öffentlichen mobilen Anwendung oder fängt ein externes Identitätstoken ab und "tauscht" es erfolgreich gegen eine Salesforce-Sitzung aus, da der Endpunkt kein Backend-Geheimnis benötigt, um die Anforderung zu validieren.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Wenn Sie diese Einstellung falsch konfigurieren, werden entweder Client-Anmeldeinformationen systemisch angezeigt oder "Tokenspringen" aktiviert, bei dem kompromittierte externe Identitäten leicht in persistenten Salesforce-Zugriff umgewandelt werden.
Höheres Risiko, wenn
Der Token-Austausch-Handler ist mit einer umfassenden Logik für die automatische Bereitstellung konfiguriert, die neue Benutzer mit umfangreichen Berechtigungen erstellt, die ausschließlich auf dem eingehenden nicht vertrauenswürdigen Token basieren.
Geringes Risiko, wenn
Öffentliche Clients verwenden PKCE (Proof Key for Code Exchange) als sekundäre Validierungsebene und wenn Token-Austausch-Handler die Ansprüche "Aussteller" und "Zielgruppe" des eingehenden Tokens streng validieren.
Überlegungen zu Unternehmen und Integration
Um dies zu implementieren, ist eine klare Bestandsaufnahme der Token "Betreff" und "Akteur" erforderlich, um sicherzustellen, dass die Sicherheitsrichtlinie den technischen Einschränkungen der aufrufenden Umgebung (Browser im Vergleich zum Server) entspricht.
Empfohlene Sanierung
Deaktivieren Sie "Geheimnis für Token-Austausch-Flow erforderlich", um ein Geheimnisleck zu verhindern.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsüberprüfung identifiziert dies als wichtiges "Identitätsbrücken"-Steuerelement und betont, dass die Sicherheit eines Token-Austauschs nur so stark ist wie die Überprüfung des Kunden, der den Handel anfordert.
