Loading
Configuration et maintenance de votre organisation Salesforce
Table des matières
Filtrer par (0)Ajouter
Sélectionner des filtres

          Aucun résultat
          Aucun résultat
          Voici quelques conseils de recherche

          Vérifiez l'orthographe de vos mots-clés.
          Utilisez des termes de recherche plus généraux.
          Sélectionnez moins de filtres pour élargir votre recherche.

            Recherchez dans toute l’aide de Salesforce
            Recherchez dans toute l’aide de Salesforce
            API (Activer les paramètres OAuth) : Sélection des étendues OAuth à appliquer à l'application connectée

            Vous êtes ici :

            1. Aide de Salesforce
            2. Documents
            3. Configuration et maintenance de votre organisation Salesforce

            API (Activer les paramètres OAuth) : Sélection des étendues OAuth à appliquer à l'application connectée

            Les étendues OAuth sont les « autorisations du jeton » qui définissent exactement les données et les actions qu'une application connectée peut exécuter au nom d'un utilisateur.

            Nom du contrôle

            Applications connectées : API (Activer les paramètres OAuth) : Sélectionner les étendues OAuth à appliquer à l'application connectée

            Configuration recommandée

            Étendues OAuth sélectionnées : sélectionnez les étendues OAuth à appliquer à l'application connectée.

            Vue d'ensemble du contrôle

            Les étendues OAuth sont les « autorisations du jeton » qui définissent exactement les données et les actions qu'une application connectée peut exécuter au nom d'un utilisateur. En sélectionnant des étendues spécifiques, les administrateurs Salesforce appliquent le principe du moindre privilège à la couche d'intégration, en s'assurant que même si une application est authentifiée, elle est limitée à un sous-ensemble prédéfini de ressources Salesforce (par exemple, uniquement l'accès API ou uniquement les informations d'identité).

            Risque de sécurité s'il n'est pas configuré

            Lorsque les étendues granulaires ne sont pas activées (ou si « Accès complet » est utilisé par défaut), l'application connectée hérite de l'ensemble d'autorisations complet de l'utilisateur qui l'autorise, que l'application en ait réellement besoin ou non. Cela crée une faille de sécurité où une simple intégration pour une tâche spécifique (par exemple : Envoi d'e-mails) peut potentiellement être utilisé pour supprimer des enregistrements, exporter la base de données complète ou modifier des métadonnées système.

            Scénarios de menace

            Un assaillant trompe un utilisateur en lui demandant d'autoriser une application connectée qui a reçu des étendues étendues telles que full_access. Une fois autorisés, l'assaillant utilise le jeton généré pour exfiltrer par programmation les informations d'identification personnelle et les données CRM confidentielles via l'API REST, en contournant entièrement l'interface manuelle de l'utilisateur.

            Plage de score CVSS estimée

            Critique (9,0 à 10,0).

            Considérations relatives à l'impact sur le risque

            Un "rayon d'explosion" exponentiellement plus grand en cas de vol d'identifiants. Si un partenaire d'intégration est violé, un jeton OAuth trop privilégié permet à l'assaillant de se déplacer latéralement à travers votre organisation, entraînant une exfiltration en masse des données.

            Risque plus élevé quand

            Le risque est nettement plus élevé lorsque les étendues full ou web sont attribuées, car elles accordent un accès quasi illimité à l'environnement Salesforce. Le risque est encore amplifié si l'application connectée est associée à un administrateur système ou à un utilisateur de l'intégration à privilèges élevés, car le jeton hérite de ces larges pouvoirs administratifs.

            Risque faible quand

            Lorsque l'application est limitée à une étendue unique et spécifique, par exemple api (Gérer les données utilisateur via des API) et est associée à un Utilisateur d'intégration dédié. En limitant simultanément les autorisations de profil de l'utilisateur et les étendues OAuth de l'application, vous limitez les capacités de l'intégration.

            Considérations relatives à l'entreprise et à l'intégration

            L'application automatique de périmètres étroits nécessite une compréhension approfondie des exigences techniques de l'application tierce afin d'éviter les erreurs « Autorisations insuffisantes » qui rompent l'intégration. Pour cela, il faut concilier sécurité et agilité, car des étendues trop restrictives peuvent nécessiter des mises à jour manuelles fréquentes à mesure que les fonctionnalités de l'application évoluent.

            Remédiation recommandée

            • Vérification des étendues existantes : Examiner toutes les applications connectées actives dans Configuration>Applications connectées Utilisation OAuth
            • Appliquer le moindre privilège : Modifiez les paramètres de l'application connectée pour retirer les étendues étendues et les remplacer par le minimum requis (généralement api, openid et refresh_token), puis permutez ou révoquez les jetons existants pour forcer la nouvelle stratégie.

            Guide d'examen sanitaire de sécurité

            Security Health Review identifie cette lacune de sécurité contextuelle. Les étendues sélectives permettent un accès précis aux données basées sur le rôle dans une application intégrée unique.

            Voir également :

             
            Chargement
            Salesforce Help | Article