Usted está aquí:
Configurar políticas de OAuth: Configurar ámbitos personalizados para aplicaciones cliente externas
Esta configuración de seguridad permite a los administradores de Salesforce definir permisos de acceso limitado específicos que permiten a las aplicaciones externas interactuar únicamente con recursos protegidos designados.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Configurar ámbitos personalizados para aplicaciones cliente externas
Configuración recomendada
Configure Ámbitos personalizados para aplicaciones cliente externas.
Descripción general de control
Esta configuración de seguridad permite a los administradores de Salesforce definir permisos de acceso limitado específicos que permiten a las aplicaciones externas interactuar únicamente con recursos protegidos designados en vez de con el conjunto de datos organizativo completo.
Riesgo de seguridad si no está configurado
Los ámbitos personalizados demasiado amplios para clientes conectados conducen a una vulnerabilidad donde las aplicaciones integradas obtienen un control excesivo y funciones no autorizadas a través de tokens de acceso con privilegios excesivos.
Escenarios de amenazas
Una aplicación externa con un ámbito personalizado no restringido se ve comprometida por un atacante que luego utiliza los privilegios de token elevados para ejecutar comandos administrativos o acceder a datos confidenciales más allá del requisito de negocio original.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El fallo en la implementación de ámbitos personalizados granulares da como resultado una falta de aplicación forzosa de los privilegios mínimos, permitiendo potencialmente que una única vulnerabilidad en una herramienta externa se convierta en un compromiso a gran escala del entorno de Salesforce.
Mayor riesgo cuando
Cuando los ámbitos personalizados se asignan a permisos globales o comodines que otorgan al cliente externo la capacidad de leer, escribir o eliminar registros en todos los objetos sin restricción.
Bajo riesgo cuando
Si la compañía utiliza un validador de ámbito de OAuth sólido y aplica revisiones de código internas estrictas para garantizar que cada integración solo solicita las reclamaciones funcionales mínimas absolutas requeridas para su funcionamiento.
Consideraciones de negocio e integración
La definición de ámbitos personalizados precisos mejora la postura de seguridad de la compañía pero requiere que los desarrolladores actualicen explícitamente la lógica de la aplicación para solicitar y gestionar tokens restringidos para llamadas de API específicas.
Remediación recomendada
Vaya a Configuración de OAuth para la aplicación cliente externa para definir ámbitos personalizados específicos y luego asigne estos ámbitos a las políticas relevantes para garantizar el acceso restringido para todas las solicitudes de clientes.
Directrices de revisión del estado de seguridad
Security Health Review identifica el uso de ámbitos personalizados granulares como un estándar altamente recomendado para aplicar el principio de menor privilegio y evitar que integraciones externas obtengan un control excesivo sobre la instancia de Salesforce.
