Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Flujo de intercambio de tokens seguro
Este control determina si una aplicaciĆ³n cliente debe proporcionar un secreto al intercambiar un token externo por un token de acceso de Salesforce.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Flujo de intercambio de tokens seguro
ConfiguraciĆ³n recomendada
Active Flujo de intercambio de tokens. Establezca en No requerir secreto para flujo de intercambio de tokens.
DescripciĆ³n general de control
Este control determina si una aplicaciĆ³n cliente debe proporcionar un secreto al intercambiar un token externo (como un token de Id. de un proveedor de identidad externo) por un token de acceso de Salesforce, permitiendo especĆficamente a los clientes pĆŗblicos omitir este requisito cuando no pueden almacenar credenciales de forma segura.
Riesgo de seguridad si no estĆ” configurado
Si se requiere un secreto de forma incorrecta para clientes pĆŗblicos, los desarrolladores se ven obligados a codificar credenciales confidenciales en cĆ³digo front-end donde se pueden capturar. Por el contrario, al no requerirlo para clientes privados, los servidores no autorizados pueden realizar intercambios sin probar su identidad.
Escenarios de amenazas
Un atacante extrae un secreto de cliente codificado del binario de una aplicaciĆ³n mĆ³vil pĆŗblica o intercepta un token de identidad externo y lo "intercambia" correctamente por una sesiĆ³n de Salesforce porque el extremo no requerĆa un secreto de backend para validar la solicitud.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
La configuraciĆ³n incorrecta de este parĆ”metro lleva a la exposiciĆ³n sistĆ©mica de credenciales de cliente o a la activaciĆ³n del "salto de token", donde las identidades externas comprometidas se convierten fĆ”cilmente en acceso persistente a Salesforce.
Mayor riesgo cuando
El Gestor de intercambio de tokens estĆ” configurado con una lĆ³gica de "Aprovisionamiento automĆ”tico" amplia que crea nuevos usuarios con permisos amplios basĆ”ndose Ćŗnicamente en el token no de confianza entrante.
Bajo riesgo cuando
Los clientes pĆŗblicos utilizan PKCE (Clave de prueba para intercambio de cĆ³digos) como capa de validaciĆ³n secundaria y cuando los controladores de intercambio de tokens validan estrictamente las reclamaciones "Emisor" y "Audiencia" del token entrante.
Consideraciones de negocio e integraciĆ³n
La implementaciĆ³n de esto requiere un inventario claro de quĆ© tokens "Asunto" y "Actor" se estĆ”n intercambiando para asegurarse de que la polĆtica de seguridad se alinea con las limitaciones tĆ©cnicas del entorno de llamada (navegador frente a servidor).
RemediaciĆ³n recomendada
Anule la selecciĆ³n de "Requerir secreto para flujo de intercambio de tokens" para evitar la fuga de secretos.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica esto como un control de "Puente de identidad" crĆtico, enfatizando que la seguridad de un intercambio de tokens solo es tan sĆ³lida como la verificaciĆ³n del cliente que solicita la operaciĆ³n.
