Loading
Ställa in och bibehålla din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            API (Aktivera OAuth-inställningar): Säkert tokenutbytesflöde

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Ställa in och bibehålla din Salesforce-organisation

            API (Aktivera OAuth-inställningar): Säkert tokenutbytesflöde

            Denna kontroll avgör om ett klientprogram måste tillhandahålla en hemlighet vid utbyte av en tredjepartstoken mot en Salesforce-åtkomsttoken.

            Kontrollnamn

            Anslutna appar: API (Aktivera OAuth-inställningar): Säkert tokenutbytesflöde

            Rekommenderad konfiguration

            Aktivera tokenutbytesflöde. Sätt till Kräv inte hemlighet för tokenutbytesflöde.

            Kontrollöversikt

            Denna kontroll avgör om ett klientprogram måste tillhandahålla en hemlighet vid utbyte av en tredjepartstoken (som en ID-token från en extern identitetsleverantör) mot en Salesforce-åtkomsttoken, vilket specifikt låter offentliga klienter kringgå detta krav om de inte kan lagra inloggningsuppgifter säkert.

            Säkerhetsrisk om den inte är konfigurerad

            Om en hemlighet felaktigt krävs för offentliga klienter tvingas utvecklare hårdkoda känsliga inloggningsuppgifter till frontend-kod där de kan skördas. Omvänt, att inte kräva det för privata klienter låter oauktoriserade servrar utföra utbyten utan att bevisa sin identitet.

            Hotscenarier

            En attackerare extraherar en hårdkodad klienthemlighet från en offentlig mobilapps binära eller fångar upp en extern identitetstoken och "byter" den mot en Salesforce-session eftersom slutpunkten inte krävde en backendhemlighet för att validera begäran.

            Uppskattat CVSS-betygintervall

            Kritisk (9,0-10,0).

            Att tänka på vad gäller riskpåverkan

            Att felkonfigurera denna inställning leder antingen till systemexponering av klientuppgifter eller aktivering av "tokenhoppning", där komprometterade externa identiteter enkelt konverteras till beständig Salesforce-åtkomst.

            Högre risk när

            Tokenutbyteshanteraren är konfigurerad med bred "Autoprovisionering"-logik som skapar nya användare med omfattande behörigheter baserade endast på den inkommande opålitliga token.

            Låg risk när

            Offentliga klienter använder PKCE (Proof Key for Code Exchange) som ett sekundärt valideringslager och när Token Exchange-hanterare strikt validerar anspråken "Issuer" och "Audience" för den inkommande token.

            Att tänka på vad gäller affärer och integration

            Att implementera detta kräver en tydlig inventering av vilka "Subject"- och "Actor"-tokens som utbyts för att säkerställa att säkerhetspolicyn överensstämmer med de tekniska begränsningarna för den anropande miljön (webbläsare vs. server).

            Rekommenderad åtgärd

            Avmarkera "Kräv hemlighet för tokenutbytesflöde" för att förhindra hemligt läckage.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning identifierar detta som en viktig "Identitetsbrygga"-kontroll, som betonar att säkerheten för ett tokenutbyte endast är så stark som verifieringen av klienten som begär handeln.

            Se även:

             
            Laddar
            Salesforce Help | Article