Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            API (Abilita impostazioni OAuth): Selezione degli ambiti OAuth da applicare all'applicazione connessa

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            API (Abilita impostazioni OAuth): Selezione degli ambiti OAuth da applicare all'applicazione connessa

            Gli ambiti OAuth sono le "autorizzazioni del token" che definiscono esattamente i dati e le azioni che un'applicazione connessa può eseguire per conto di un utente.

            Nome controllo

            Applicazioni connesse: API (Abilita impostazioni OAuth): Selezionare gli ambiti OAuth da applicare all'applicazione connessa

            Configurazione consigliata

            Ambiti OAuth selezionati: selezionare gli ambiti OAuth da applicare all'applicazione connessa.

            Panoramica sul controllo

            Gli ambiti OAuth sono le "autorizzazioni del token" che definiscono esattamente i dati e le azioni che un'applicazione connessa può eseguire per conto di un utente. Selezionando ambiti specifici, gli amministratori Salesforce applicano il principio dei privilegi minimi a livello di integrazione, assicurando che anche se un'app è autenticata, sia limitata a un sottoinsieme predefinito di risorse Salesforce (ad esempio, solo l'accesso API o solo le informazioni sull'identità).

            Rischio per la sicurezza se non configurato

            Quando gli ambiti granulari non sono abilitati (o se è utilizzato "Accesso completo" per impostazione predefinita), l'applicazione connessa eredita l'insieme di autorizzazioni completo dell'utente autorizzatore, indipendentemente dal fatto che l'applicazione ne abbia effettivamente bisogno. Ciò crea una lacuna di sicurezza in cui una semplice integrazione per un'operazione specifica (ad esempio, l'invio di email) potrebbe potenzialmente essere utilizzata per eliminare record, esportare l'intero database o modificare i metadati di sistema.

            Scenari di minaccia

            Un aggressore inganna l'utente facendogli autorizzare un'applicazione connessa a cui sono stati concessi ambiti ampi come full_access. Dopo essere stato autorizzato, l'autore dell'attacco utilizza il token risultante per esfiltrare a livello di programmazione le informazioni personali e i dati CRM sensibili tramite l'API REST, ignorando completamente l'interfaccia manuale dell'utente.

            Intervallo di punteggi CVSS stimato

            Critico (9.0–10.0).

            Considerazioni sull'impatto del rischio

            Un "raggio di esplosione" esponenzialmente maggiore in caso di furto di credenziali. Se viene violato un partner di integrazione, un token OAuth con privilegi eccessivi consente all'autore dell'attacco di spostarsi lateralmente all'interno dell'organizzazione, causando un'esfiltrazione globale dei dati.

            Rischio maggiore quando

            Il rischio è significativamente più elevato quando vengono assegnati gli ambiti full o web, poiché questi concedono un accesso quasi illimitato all'ambiente Salesforce. Il rischio è ulteriormente amplificato se l'applicazione connessa è associata a un amministratore di sistema o a un utente integrazione con privilegi elevati, poiché il token eredita tali ampi poteri amministrativi.

            Basso rischio quando

            Quando l'app è limitata a un singolo ambito specifico, ad esempio api (Gestisci dati utente tramite API) ed è abbinata a un Utente integrazione dedicato. Limitando contemporaneamente le autorizzazioni del profilo utente e gli ambiti OAuth dell'app, si limitano le funzionalità dell'integrazione.

            Considerazioni su Business e integrazione

            L'imposizione di ambiti ristretti richiede una profonda conoscenza dei requisiti tecnici dell'applicazione di terze parti per evitare errori di "Autorizzazioni insufficienti" che interrompono l'integrazione. Ciò richiede un equilibrio tra sicurezza e agilità, poiché gli ambiti eccessivamente restrittivi possono richiedere frequenti aggiornamenti manuali man mano che le funzioni dell'applicazione del fornitore si evolvono.

            Rimedio consigliato

            • Controlla ambiti esistenti: Esaminare tutte le applicazioni connesse attive in Imposta>Utilizzo OAuth applicazioni connesse
            • Applica privilegi minimi: Modificare le impostazioni dell'applicazione connessa per rimuovere ambiti ampi e sostituirli con il minimo richiesto (in genere api, openid e refresh_token), quindi ruotare o revocare i token esistenti per imporre la nuova policy.

            Guida all'esame dello stato della sicurezza

            Security Health Review identifica questa lacuna nella sicurezza contestuale. Gli ambiti selettivi consentono un accesso granulare ai dati basato sui ruoli all'interno di una singola applicazione integrata.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article