Loading
Uw Salesforce-organisatie instellen en onderhouden
Inhoudsopgave
Filteren op (0)Toevoegen
Filters selecteren

          Geen resultaten
          Geen resultaten
          Hier zijn enkele zoektips

          Controleer de spelling van uw trefwoorden.
          Gebruik meer algemene zoektermen.
          Verwijder filters om uw zoekopdracht uit te breiden.

            De Help van Salesforce volledig doorzoeken
            De Help van Salesforce volledig doorzoeken
            API (OAuth-instellingen inschakelen): De OAuth-bereiken selecteren die moeten worden toegepast op de verbonden app

            U bent hier:

            1. Help van Salesforce
            2. Documenten
            3. Uw Salesforce-organisatie instellen en onderhouden

            API (OAuth-instellingen inschakelen): De OAuth-bereiken selecteren die moeten worden toegepast op de verbonden app

            OAuth-bereiken zijn de "machtigingen van het token" die exact definiëren welke gegevens en acties een verbonden app namens een gebruiker kan uitvoeren.

            Controlenaam

            Verbonden apps: API (OAuth-instellingen inschakelen): Selecteer de OAuth-bereiken die moeten worden toegepast op de verbonden app

            Aanbevolen configuratie

            Geselecteerde OAuth-bereiken - Selecteer de OAuth-bereiken die moeten worden toegepast op de verbonden app.

            Overzicht van besturingselementen

            OAuth-bereiken zijn de "machtigingen van het token" die exact definiëren welke gegevens en acties een verbonden app namens een gebruiker kan uitvoeren. Door specifieke bereiken te selecteren, passen Salesforce-beheerders het principe van de minste rechten toe op de integratielaag, waarbij ze ervoor zorgen dat zelfs als een app is geauthenticeerd, deze beperkt is tot een vooraf gedefinieerde subset van Salesforce-resources (bijvoorbeeld alleen API-toegang of alleen identiteitsgegevens).

            Beveiligingsrisico indien niet geconfigureerd

            Wanneer granulaire bereiken niet zijn ingeschakeld (of als standaard "Volledige toegang" wordt gebruikt), neemt de verbonden app de volledige machtigingenset over van de autoriserende gebruiker, ongeacht of de app deze daadwerkelijk nodig heeft. Hierdoor ontstaat een beveiligingshiaat waarbij een eenvoudige integratie voor een specifieke taak (bijvoorbeeld het verzenden van e-mailberichten) potentieel kan worden gebruikt om records te verwijderen, de gehele database te exporteren of systeemmetagegevens te wijzigen.

            Dreigingsscenario's

            Een aanvaller verleidt een gebruiker tot het autoriseren van een verbonden app waaraan brede bereiken zijn toegekend, zoals full_access. Nadat ze zijn geautoriseerd, gebruikt de aanvaller het resulterende token om persoonsgegevens en gevoelige CRM-gegevens programmatisch te exfiltreren via de REST-API, waarbij de handmatige interface van de gebruiker volledig wordt omzeild.

            Geschatte CVSS-scorebereik

            Kritiek (9,0–10,0).

            Overwegingen bij risico-impact

            Een exponentieel grotere "explosieradius" in het geval van diefstal van inloggegevens. Als er inbreuk wordt gepleegd op een integratiepartner, kan de aanvaller zich met een OAuth-token met te veel rechten lateraal verplaatsen binnen uw organisatie, wat leidt tot bulkexfiltratie van gegevens.

            Hoger risico wanneer

            Het risico is aanzienlijk groter wanneer de full of web worden toegewezen, aangezien deze vrijwel onbeperkte toegang tot de Salesforce-omgeving verlenen. Het risico wordt verder vergroot als de verbonden app is gekoppeld aan een systeembeheerder of een integratiegebruiker met hoge machtigingen, aangezien het token die brede beheerbevoegdheden overneemt.

            Laag risico wanneer

            Wanneer de app is beperkt tot één specifiek bereik, zoals api (Gebruikersgegevens beheren via API's) en is gekoppeld aan een Toegewijde integratiegebruiker. Door de profielmachtigingen van de gebruiker en de OAuth-bereiken van de app tegelijkertijd te beperken, beperkt u de mogelijkheden van de integratie.

            Overwegingen bij bedrijf en integratie

            Het afdwingen van nauwe bereiken vereist een diepgaand inzicht in de technische vereisten van de externe toepassing om fouten door "Onvoldoende machtigingen" te voorkomen die de integratie verstoren. Dit vereist een evenwicht tussen beveiliging en flexibiliteit, aangezien al te beperkende bereiken mogelijk frequente handmatige updates vereisen naarmate de toepassingsvoorzieningen van de leverancier zich ontwikkelen.

            Aanbevolen oplossing

            • Bestaande bereiken controleren: Alle actieve verbonden apps controleren in Set-up>OAuth-gebruik van verbonden apps
            • Minste machtiging toepassen: Bewerk de instellingen van de verbonden app om brede bereiken te verwijderen en te vervangen door het vereiste minimum (doorgaans api, openid en refresh_token), en roteer of trek vervolgens bestaande tokens in om het nieuwe beleid af te dwingen.

            Begeleiding bij beoordeling van beveiligingstoestand

            Beoordeling van beveiligingstoestand identificeert dit als een contextueel beveiligingshiaat. Selectieve bereiken maken fijnmazige, op rollen gebaseerde gegevenstoegang mogelijk binnen één geïntegreerde toepassing.

            Zie ook:

             
            Wordt geladen
            Salesforce Help | Article