Loading
Einrichtung und Pflege der Salesforce-Organisation
Inhalt
Filtern nach (0)Hinzufügen
Filter auswählen

          Keine Ergebnisse
          Keine Ergebnisse
          Hier sind einige Suchtipps

          Überprüfen Sie die Schreibweise Ihrer Stichwörter.
          Verwenden Sie allgemeinere Suchbegriffe.
          Wählen Sie weniger Filter aus, um Ihre Suche auszuweiten.

            Gesamte Salesforce-Hilfe durchsuchen
            Gesamte Salesforce-Hilfe durchsuchen
            API (OAuth-Einstellungen aktivieren): Auswählen der auf die verbundene Anwendung anzuwendenden OAuth-Geltungsbereiche

            Sie befinden sich hier:

            1. Salesforce-Hilfe
            2. Dokumente
            3. Einrichtung und Pflege der Salesforce-Organisation

            API (OAuth-Einstellungen aktivieren): Auswählen der auf die verbundene Anwendung anzuwendenden OAuth-Geltungsbereiche

            OAuth-Geltungsbereiche sind die "Berechtigungen des Tokens", die genau definieren, welche Daten und Aktionen eine verbundene Anwendung im Namen eines Benutzers ausführen kann.

            Steuerelementname

            Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Auswählen der auf die verbundene Anwendung anzuwendenden OAuth-Geltungsbereiche

            Empfohlene Konfiguration

            Selected OAuth Scopes (Ausgewählte OAuth-Geltungsbereiche): Wählen Sie die OAuth-Geltungsbereiche aus, die auf die verbundene Anwendung angewendet werden sollen.

            Steuerelementübersicht

            OAuth-Geltungsbereiche sind die "Berechtigungen des Tokens", die genau definieren, welche Daten und Aktionen eine verbundene Anwendung im Namen eines Benutzers ausführen kann. Durch Auswahl spezifischer Geltungsbereiche wenden Salesforce-Administratoren das Prinzip der geringsten Berechtigung auf der Integrationsebene an und stellen so sicher, dass eine Anwendung auch dann, wenn sie authentifiziert ist, auf eine vordefinierte Teilmenge der Salesforce-Ressourcen beschränkt ist (beispielsweise nur API-Zugriff oder nur Identitätsinformationen).

            Sicherheitsrisiko, wenn nicht konfiguriert

            Wenn granulare Umfänge nicht aktiviert sind (oder "Uneingeschränkter Zugriff" standardmäßig verwendet wird), übernimmt die verbundene Anwendung den vollständigen Berechtigungssatz des autorisierenden Benutzers, unabhängig davon, ob die Anwendung ihn tatsächlich benötigt. Dadurch entsteht eine Sicherheitslücke, in der eine einfache Integration für eine bestimmte Aufgabe (beispielsweise: Senden von E-Mails) können möglicherweise zum Löschen von Datensätzen, Exportieren der gesamten Datenbank oder Ändern von Systemmetadaten verwendet werden.

            Bedrohungsszenarien

            Ein Angreifer verleitet einen Benutzer dazu, eine verbundene Anwendung zu autorisieren, der umfangreiche Geltungsbereiche wie full_access gewährt wurden. Nach ihrer Autorisierung verwendet der Angreifer das resultierende Token, um personenbezogene Daten und sensible CRM-Daten programmgesteuert über die REST-API zu exfiltrieren und die manuelle Benutzeroberfläche vollständig zu umgehen.

            Geschätzter CVSS-Bewertungsbereich

            Kritisch (9.0–10.0).

            Überlegungen zu Risikoauswirkungen

            Ein exponentiell größerer "Sprengungsradius" im Falle eines Credential-Diebstahls. Wenn ein Integrationspartner verletzt wird, kann der Angreifer mit einem überprivilegierten OAuth-Token seitlich in Ihrer Organisation navigieren, was zu einer Massendatenexfiltration führt.

            Höheres Risiko, wenn

            Bei der Zuweisung der full- oder web ist das Risiko deutlich höher, da diese nahezu uneingeschränkten Zugriff auf die Salesforce-Umgebung gewähren. Das Risiko wird noch erhöht, wenn die verbundene Anwendung einem Systemadministrator oder einem Integrationsbenutzer mit hohen Rechten zugeordnet ist, da das Token diese umfassenden Verwaltungsbefugnisse übernimmt.

            Geringes Risiko, wenn

            Wenn die Anwendung auf einen einzelnen, spezifischen Umfang wie api (Benutzerdaten über APIs verwalten) beschränkt und mit einem dedizierten Integrationsbenutzer verknüpft ist. Indem Sie die Profilberechtigungen des Benutzers und die OAuth-Geltungsbereiche der Anwendung gleichzeitig einschränken, schränken Sie die Funktionen der Integration ein.

            Überlegungen zu Unternehmen und Integration

            Das Erzwingen enger Umfänge erfordert ein tiefes Verständnis der technischen Anforderungen der Drittanbieteranwendung, um Fehler aufgrund unzureichender Berechtigungen zu vermeiden, die die Integration beeinträchtigen. Dies erfordert ein Gleichgewicht zwischen Sicherheit und Agilität, da allzu restriktive Umfänge häufige manuelle Aktualisierungen erfordern, da sich die Anwendungsfunktionen des Anbieters weiterentwickeln.

            Empfohlene Sanierung

            • Überprüfen vorhandener Umfänge: Überprüfen aller aktiven verbundenen Anwendungen unter "Setup>Verbundene Anwendungen" OAuth-Nutzung
            • Anwenden der geringsten Berechtigung: Bearbeiten Sie die Einstellungen für die verbundene Anwendung, um allgemeine Geltungsbereiche zu entfernen und durch das erforderliche Minimum (in der Regel api, openid und refresh_token) zu ersetzen. Drehen Sie dann vorhandene Token oder widerrufen Sie sie, um die neue Richtlinie zu erzwingen.

            Anleitung zur Sicherheitsintegritätsprüfung

            Die Sicherheitsintegritätsprüfung identifiziert dies als kontextbezogene Sicherheitslücke. Selektive Geltungsbereiche ermöglichen einen detaillierten, rollenbasierten Datenzugriff in einer einzigen integrierten Anwendung.

            Siehe auch:

             
            Laden
            Salesforce Help | Article