Vous êtes ici :
Configurer des stratégies OAuth : Configuration d'étendues personnalisées pour le contrôle des applications clientes externes
Ce paramètre de sécurité permet aux administrateurs Salesforce de définir des autorisations d'accès limitées spécifiques qui autorisent les applications externes à interagir uniquement avec des ressources protégées désignées.
Nom du contrôle
Applications clientes externes : Configurer des stratégies OAuth : Configuration d'étendues personnalisées pour des applications clientes externes
Configuration recommandée
Configurez des étendues personnalisées pour des applications clientes externes.
Vue d'ensemble du contrôle
Ce paramètre de sécurité permet aux administrateurs Salesforce de définir des autorisations d'accès spécifiques et limitées qui permettent aux applications externes d'interagir uniquement avec des ressources protégées désignées, pas avec le jeu de données complet de l'organisation.
Risque de sécurité s'il n'est pas configuré
Les étendues personnalisées trop larges pour les clients connectés entraînent une vulnérabilité dans laquelle les applications intégrées obtiennent un contrôle excessif et des capacités fonctionnelles non autorisées via des jetons d'accès trop privilégiés.
Scénarios de menace
Une application externe avec une étendue personnalisée non restreinte est compromise par un assaillant qui utilise ensuite les privilèges de jeton élevés pour exécuter des commandes administratives ou accéder à des données confidentielles au-delà des exigences métiers d'origine.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'incapacité d'implémenter des étendues personnalisées précises entraîne un manque d'application des moindres privilèges, ce qui peut entraîner une vulnérabilité unique dans un outil tiers pour escalader vers une compromission à grande échelle de l'environnement Salesforce.
Risque plus élevé quand
Lorsque des étendues personnalisées sont mappées avec des autorisations globales ou génériques qui accordent au client externe la possibilité de lire, d'écrire ou de supprimer des enregistrements dans tous les objets sans restriction.
Risque faible quand
Si l'entreprise utilise un validateur d'étendue OAuth robuste et applique des contrôles de code internes stricts pour s'assurer que chaque intégration demande uniquement les réclamations fonctionnelles minimales absolues requises pour son fonctionnement.
Considérations relatives à l'entreprise et à l'intégration
La définition d'étendues personnalisées précises améliore le dispositif de sécurité de l'entreprise, mais nécessite que les développeurs mettent explicitement à jour la logique d'application pour demander et gérer des jetons restreints pour des appels d'API spécifiques.
Remédiation recommandée
Accédez aux Paramètres OAuth de l'application cliente externe pour définir des étendues personnalisées spécifiques, puis attribuez ces étendues aux stratégies appropriées afin de garantir un accès restreint à toutes les requêtes des clients.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation d'étendues personnalisées précises comme une norme fortement recommandée pour appliquer le principe du moindre privilège et empêcher les intégrations tierces d'obtenir un contrôle excessif sur l'instance Salesforce.
