Sie befinden sich hier:
API (OAuth-Einstellungen aktivieren): Verwenden von digitalen Signaturen – Ausgewählt
Diese Sicherheitseinstellung schreibt die Verwendung asymmetrischer Kryptografie vor, da die verbundene Anwendung Authentifizierungsanforderungen mit einem validierten privaten Schlüssel signieren muss.
Steuerelementname
Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Verwenden von digitalen Signaturen – Ausgewählt
Empfohlene Konfiguration
Verwenden Sie "Digitale Signaturen – Ausgewählt".
Steuerelementübersicht
Diese Sicherheitseinstellung schreibt die Verwendung asymmetrischer Kryptografie vor, indem die verbundene Anwendung Authentifizierungsanforderungen mit einem privaten Schlüssel signieren muss, der mit einem öffentlichen Zertifikat abgeglichen wird, das auf die Salesforce Platform hochgeladen wurde.
Sicherheitsrisiko, wenn nicht konfiguriert
Das Fehlen digitaler Signaturen für die Überprüfung des Anwendungszugriffs führt zu einer Schwachstelle, bei der gefälschte Identitätsbehauptungen die Identität einer nicht autorisierten Anwendung imitieren und die standardmäßige auf Anmeldeinformationen basierende Sicherheit umgehen können.
Bedrohungsszenarien
Ein böswilliger Akteur fängt ein Client-Geheimnis ab oder errät es und versucht, sich als vertrauenswürdige Integration auszugeben, um administrative API-Aufrufe auszuführen, ohne die sekundäre Ebene des kryptografischen Nachweises durch ein eindeutiges digitales Zertifikat zu benötigen.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn digitale Signaturen nicht erzwungen werden, wird der persistente nicht autorisierte Zugriff auf die Organisationsdatenebene erleichtert, da statische Anmeldeinformationen wesentlich einfacher kompromittiert und wiederverwendet werden können als kurzlebige signierte Behauptungen.
Höheres Risiko, wenn
Wenn der Integration administrative Umfänge gewährt werden oder wenn die Organisation ältere Authentifizierungs-Flows verwendet, die ausschließlich auf freigegebenen Geheimnissen basieren, die über das Netzwerk übertragen werden.
Geringes Risiko, wenn
Wenn die Organisation einen zuverlässigen Prozess zur Verwaltung des Zertifikatlebenszyklus implementiert, der kurze Ablaufzeiten erzwingt und Hardware-Sicherheitsmodule zum Schutz privater Schlüssel verwendet.
Überlegungen zu Unternehmen und Integration
Für die Umstellung auf digitale Signaturen muss die externe Anwendung über ein gültiges X.509-Zertifikat verfügen und über die Möglichkeit zum Ausführen der RSA- oder ECDSA-Signatur während des OAuth JWT-Bearer-Flows verfügen.
Empfohlene Sanierung
Navigieren Sie zum Abschnitt API (OAuth-Einstellungen aktivieren) der verbundenen Anwendung, wählen Sie Digitale Signaturen verwenden aus und laden Sie das entsprechende öffentliche Zertifikat hoch, das für die Identitätsüberprüfung verwendet werden soll.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Erzwingung digitaler Signaturen als dringend empfohlenen Standard, um statische freigegebene Geheimnisse durch zertifikatsbasierte Authentifizierung zu ersetzen, um eine Identitätsüberprüfung zu verhindern und die Integrität aller Integrationsanforderungen sicherzustellen.
