U bent hier:
API (OAuth-instellingen inschakelen): Digitale handtekeningen gebruiken - Geselecteerd
Deze beveiligingsinstelling verplicht het gebruik van asymmetrische cryptografie door de verbonden toepassing te verplichten authenticatieverzoeken te ondertekenen met een gevalideerde privésleutel.
Controlenaam
Verbonden apps: API (OAuth-instellingen inschakelen): Digitale handtekeningen gebruiken - Geselecteerd
Aanbevolen configuratie
Gebruik Digitale handtekeningen - Geselecteerd.
Overzicht van besturingselementen
Deze beveiligingsinstelling verplicht het gebruik van asymmetrische cryptografie door te vereisen dat de verbonden toepassing authenticatieverzoeken ondertekent met een privésleutel die wordt gevalideerd op basis van een openbaar certificaat dat is geüpload naar het Salesforce-platform.
Beveiligingsrisico indien niet geconfigureerd
Het ontbreken van digitale handtekeningen voor verificatie van toepassingstoegang leidt tot een kwetsbaarheid waarbij vervalste identiteitsdefinities leiden tot ongeoorloofde toepassingsimulatie en de potentiële omzeiling van op standaardinloggegevens gebaseerde beveiliging.
Dreigingsscenario's
Een kwaadwillende actor onderschept of raadt een clientgeheim en probeert zich voor te doen als een vertrouwde integratie om administratieve API-aanroepen uit te voeren zonder de secundaire laag cryptografisch bewijs die wordt geleverd door een uniek digitaal certificaat.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het niet afdwingen van digitale handtekeningen vergemakkelijkt aanhoudende ongeoorloofde toegang tot de gegevenslaag van de organisatie, aangezien statische inloggegevens aanzienlijk gemakkelijker te compromitteren en hergebruiken zijn dan kortstondige, ondertekende definities.
Hoger risico wanneer
Wanneer aan de integratie beheerbereiken worden verleend of wanneer de organisatie verouderde authenticatiestromen gebruikt die uitsluitend vertrouwen op gedeelde geheimen die via het netwerk worden verzonden.
Laag risico wanneer
Als de organisatie een robuust proces voor levenscyclusbeheer van certificaten implementeert dat korte vervalperioden afdwingt en hardwarebeveiligingsmodules gebruikt om privésleutels te beschermen.
Overwegingen bij bedrijf en integratie
De overstap naar digitale handtekeningen vereist dat de externe toepassing een geldig X.509-certificaat heeft en de mogelijkheid heeft om RSA- of ECDSA-ondertekening uit te voeren tijdens de OAuth JWT-bearerstroom.
Aanbevolen oplossing
Ga naar de sectie API (OAuth-instellingen inschakelen) van de verbonden app, selecteer Digitale handtekeningen gebruiken en upload het bijbehorende openbare certificaat dat moet worden gebruikt voor identiteitsverificatie.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het afdwingen van digitale handtekeningen als een sterk aanbevolen standaard om statische gedeelde geheimen te vervangen door op een certificaat gebaseerde authenticatie om imitatie te voorkomen en de integriteit van alle integratieverzoeken te waarborgen.
