API (啟用 OAuth 設定):選取要套用至連線的應用程式的 OAuth 範圍

控制名稱

連線的應用程式:API (啟用 OAuth 設定):選取要套用至連線的應用程式的 OAuth 範圍

建議組態

選取的 OAuth 範圍 - 選取要套用至連線應用程式的 OAuth 範圍。

控制概觀

OAuth 範圍是「權杖的權限」,可定義連線應用程式代表使用者可以執行的資料和動作。透過選取特定範圍,Salesforce 管理員可將「最低權限原則」套用至整合層,確保即使應用程式已驗證,也會將其限制在 Salesforce 資源的預先定義子集 (例如,僅限 API 存取或僅限身分資訊)。

未設定安全性風險

當未啟用細微範圍 (或預設使用「完整存取權」時),連線應用程式會繼承授權使用者的完整權限集,無論應用程式是否實際需要。這會在特定工作的簡單整合 (例如:傳送電子郵件) 可能會用來刪除記錄、匯出整個資料庫,或修改系統中繼資料。

威脅情況

攻擊者會誘騙使用者授權已獲得如 full_access 等廣泛範圍的連線應用程式。授權後,攻擊者會使用產生的權杖,透過 REST API 以程式設計的方式篩選 PII 和敏感 CRM 資料,完全略過使用者的手動介面。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

在認證遭竊時,指數較大「爆炸半徑」。如果整合合作夥伴遭到破壞,則超過權限的 OAuth 權杖可讓攻擊者在整個組織上側邊移動,進而導致大量資料外洩。

風險愈高時機

指派 full 或 web 範圍時,風險會明顯增加,因為這些範圍會授與 Salesforce 環境的幾乎不受限制存取權。如果連線應用程式與「系統管理員」或高權限整合使用者相關聯,則風險會進一步增加,因為權杖繼承了這些廣泛的管理權限。

低度風險時機

當應用程式限制為單一特定範圍 (例如 api (透過 API 管理使用者資料),並與專屬整合使用者配對時。透過同時限制使用者的設定檔權限和應用程式的 OAuth 範圍,您可以限制整合的功能。

業務與整合考量事項

強制執行窄範圍需要深入瞭解第三方應用程式的技術需求,以避免導致整合中斷的「權限不足」錯誤。這需要平衡安全性和靈活性,因為過度限制的範圍可能需要隨著廠商應用程式功能的發展頻繁手動更新。

建議的補救措施

• 稽核現有範圍:檢閱「設定」>「連線的應用程式 OAuth 使用狀況」中的所有已啟用連線應用程式
• 套用最低權限:編輯「連線的應用程式」設定以移除廣泛範圍,並將其取代為最低必要項目 (通常是 api、openid 和 refresh_token),然後輪替或撤銷現有權杖以強制執行新原則。

安全性健康檢閱指南

「安全性健康檢閱」將此識別為內容安全性缺口。選擇性範圍允許在單一整合應用程式內精確且以角色為基礎的資料存取。