API (Activar configuración de OAuth): Seleccionar los ámbitos de OAuth para aplicar a la aplicación conectada

Nombre de control

Aplicaciones conectadas: API (Activar configuración de OAuth): Seleccionar los ámbitos de OAuth para aplicar a la aplicación conectada

Configuración recomendada

Ámbitos de OAuth seleccionados: seleccione los ámbitos de OAuth para aplicar a la aplicación conectada.

Descripción general de control

Los ámbitos de OAuth son los "permisos del token" que definen exactamente qué datos y acciones puede realizar una aplicación conectada en nombre de un usuario. Seleccionando ámbitos específicos, los administradores de Salesforce aplican el Principio de menor privilegio en la capa de integración, asegurándose de que incluso si una aplicación está autenticada, está restringida a un subconjunto predefinido de recursos de Salesforce (por ejemplo, solo acceso de API o solo información de identidad).

Riesgo de seguridad si no está configurado

Cuando los ámbitos granulares no están activados (o si se utiliza "Acceso completo" de forma predeterminada), la aplicación conectada hereda el conjunto de permisos completo del usuario que autoriza, independientemente de si la aplicación lo necesita realmente. Esto crea una brecha de seguridad donde una integración sencilla para una tarea específica (por ejemplo: envío de emails) podría utilizarse potencialmente para eliminar registros, exportar la base de datos completa o modificar metadatos del sistema.

Escenarios de amenazas

Un atacante engaña a un usuario para que autorice una aplicación conectada a la que se otorgaron ámbitos amplios como full_access. Después de autorizarse, el atacante utiliza el token resultante para exfiltrar de forma programática datos de CRM confidenciales y PII a través de la API de REST, omitiendo completamente la interfaz manual del usuario.

Intervalo de puntuaje de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones de impacto de riesgo

Un "radio de explosión" exponencialmente mayor en caso de robo de credenciales. Si se infringe un socio de integración, un token de OAuth con privilegios excesivos permite al atacante moverse lateralmente por su organización, lo que lleva a una exfiltración masiva de datos.

Mayor riesgo cuando

El riesgo es significativamente mayor cuando se asignan los ámbitos de full o web, ya que otorgan acceso casi ilimitado al entorno de Salesforce. El riesgo se amplifica aún más si la aplicación conectada está asociada con un administrador del sistema o un usuario de integración de privilegios altos, ya que el token hereda esos amplios poderes administrativos.

Bajo riesgo cuando

Cuando la aplicación está restringida a un ámbito único y específico como api (Gestionar datos de usuario a través de API) y está emparejada con un Usuario de integración exclusivo. Limitando los permisos de perfil del usuario y los ámbitos de OAuth de la aplicación simultáneamente, restringe las funciones de la integración.

Consideraciones de negocio e integración

Aplicar ámbitos estrechos requiere una comprensión profunda de los requisitos técnicos de la aplicación externa para evitar errores de "Permisos insuficientes" que interrumpen la integración. Esto requiere equilibrar la seguridad con la agilidad, ya que los ámbitos demasiado restrictivos pueden requerir actualizaciones manuales frecuentes a medida que evolucionan las funciones de la aplicación del proveedor.

Remediación recomendada

• Auditar ámbitos existentes: Revisar todas las aplicaciones conectadas activas en Configuración>Uso de OAuth de aplicaciones conectadas
• Aplicar menor privilegio: Modifique la configuración de la aplicación conectada para eliminar ámbitos amplios y sustituirlos por los mínimos requeridos (normalmente api, openid y refresh_token), luego rote o revoque tokens existentes para forzar la nueva política.

Directrices de revisión del estado de seguridad

Security Health Review identifica esto como una brecha de seguridad contextual. Los ámbitos selectivos permiten el acceso granular a datos basados en funciones en una única aplicación integrada.