Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Flujo de intercambio de tokens seguro
Este control determina si una aplicaciĆ³n cliente debe proporcionar un secreto al intercambiar un token externo por un token de acceso de Salesforce.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Flujo de intercambio de tokens seguro
ConfiguraciĆ³n recomendada
Active Flujo de intercambio de tokens. Establecido en No requerir secreto para flujo de intercambio de tokens.
DescripciĆ³n general de control
Este control determina si una aplicaciĆ³n cliente debe proporcionar un secreto al intercambiar un token externo (como un token de Id. de un proveedor de identidad externo) por un token de acceso de Salesforce, permitiendo especĆficamente a los clientes pĆŗblicos omitir este requisito cuando no pueden almacenar credenciales de forma segura.
Riesgo de seguridad si no estĆ” configurado
Si se requiere un secreto incorrectamente para clientes pĆŗblicos, los desarrolladores se ven obligados a codificar credenciales confidenciales en cĆ³digo front-end donde se pueden capturar. Por el contrario, no requerirlo para clientes privados permite a servidores no autorizados realizar intercambios sin probar su identidad.
Escenarios de amenazas
Un atacante extrae un secreto de cliente codificado del binario de una aplicaciĆ³n mĆ³vil pĆŗblica o intercepta un token de identidad externo y lo "intercambia" con Ć©xito por una sesiĆ³n de Salesforce porque el extremo no requerĆa un secreto de backend para validar la solicitud.
Intervalo de puntuaciĆ³n de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
La configuraciĆ³n incorrecta de este parĆ”metro lleva a la exposiciĆ³n sistĆ©mica de credenciales de cliente o a la activaciĆ³n del "salto de token", donde las identidades externas comprometidas se convierten fĆ”cilmente en acceso persistente a Salesforce.
Riesgo mƔs alto cuando
El Gestor de intercambio de tokens estĆ” configurado con una amplia lĆ³gica de "Aprovisionamiento automĆ”tico" que crea nuevos usuarios con amplios permisos basados Ćŗnicamente en el token entrante no de confianza.
Bajo riesgo cuando
Los clientes pĆŗblicos utilizan PKCE (Clave de prueba para intercambio de cĆ³digos) como una capa de validaciĆ³n secundaria y cuando los controladores de intercambio de tokens validan estrictamente las reclamaciones "Emisor" y "Audiencia" del token entrante.
Consideraciones comerciales y de integraciĆ³n
La implementaciĆ³n de esto requiere un inventario claro de quĆ© tokens de "Asunto" y "Actor" se estĆ”n intercambiando para asegurarse de que la polĆtica de seguridad se alinea con las limitaciones tĆ©cnicas del entorno de llamada (navegador frente a servidor).
RemediaciĆ³n recomendada
Anule la selecciĆ³n de "Requerir secreto para flujo de intercambio de tokens" para evitar la fuga de secretos.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica esto como un control crĆtico de "Identity Bridging", enfatizando que la seguridad de un intercambio de tokens solo es tan sĆ³lida como la verificaciĆ³n del cliente que solicita la operaciĆ³n.
