Vous êtes ici :
API (Activer les paramètres OAuth) : Contrôle du flux d'échange de jetons sécurisé
Ce contrôle détermine si une application cliente doit fournir un secret lors de l'échange d'un jeton tiers contre un jeton d'accès Salesforce.
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Flux d'échange de jetons sécurisé
Configuration recommandée
Activez Flux d'échange de jetons. Défini sur Ne pas demander de secret pour le flux d'échange de jetons.
Vue d'ensemble du contrôle
Ce contrôle détermine si une application cliente doit fournir un secret lors de l'échange d'un jeton tiers (par exemple un jeton d'identification d'un fournisseur d'identité externe) contre un jeton d'accès Salesforce, permettant spécifiquement aux clients publics de contourner cette exigence lorsqu'ils ne peuvent pas stocker en toute sécurité les identifiants.
Risque de sécurité s'il n'est pas configuré
Si un secret est incorrectement requis pour des clients publics, les développeurs sont contraints de coder en dur les identifiants confidentiels dans un code frontal où ils peuvent être récupérés. Inversement, ne pas l'exiger pour des clients privés permet à des serveurs non autorisés d'effectuer des échanges sans prouver leur identité.
Scénarios de menace
Un assaillant extrait un secret client codé en dur du binaire d'une application mobile publique ou intercepte un jeton d'identité externe et réussit à l'« échanger » contre une session Salesforce, car le point de terminaison ne nécessitait pas de secret back-end pour valider la requête.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Une mauvaise configuration de ce paramètre entraîne l'exposition systémique des identifiants clients ou l'activation du « saut de jeton », où les identités externes compromises sont facilement converties en accès Salesforce permanent.
Risque plus élevé quand
Le Gestionnaire d'échange de jetons est configuré avec une large logique de « provisionnement automatique » qui crée de nouveaux utilisateurs avec des autorisations étendues basées uniquement sur le jeton non approuvé entrant.
Risque faible quand
Les clients publics utilisent PKCE (Proof Key for Code Exchange) comme couche de validation secondaire et lorsque les gestionnaires d'échange de jetons valident strictement les réclamations « Émetteur » et « Audience » du jeton entrant.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de cette fonctionnalité nécessite un inventaire clair des jetons « Objet » et « Acteur » échangés pour s'assurer que la stratégie de sécurité respecte les limitations techniques de l'environnement d'appel (navigateur vs serveur).
Remédiation recommandée
Désélectionnez « Nécessite un secret pour le flux d'échange de jetons » afin d'éviter toute fuite de secret.
Guide d'examen sanitaire de sécurité
L'examen de l'intégrité de la sécurité identifie ce contrôle comme un « pontage d'identité » critique, soulignant que la sécurité d'un échange de jetons est aussi forte que la vérification du client qui demande l'échange.
