위치:
OAuth 정책 구성: 외부 클라이언트 앱 제어를 위한 사용자 정의 범위 구성
이 보안 설정을 사용하면 Salesforce 관리자가 외부 응용 프로그램이 지정된 보호된 자원과만 상호 작용할 수 있는 특정한 제한된 액세스 권한을 정의할 수 있습니다.
제어 이름
외부 클라이언트 앱: OAuth 정책 구성: 외부 클라이언트 앱에 대한 사용자 정의 범위 구성
권장 구성
외부 클라이언트 앱에 대한 사용자 정의 범위를 구성합니다.
제어 개요
이 보안 설정을 사용하면 Salesforce 관리자가 외부 응용 프로그램이 전체 조직 데이터 집합이 아닌 지정된 보호된 리소스와만 상호 작용할 수 있는 특정한 제한된 액세스 권한을 정의할 수 있습니다.
구성되지 않은 경우 보안 위험
연결된 클라이언트에 대한 사용자 정의 범위가 지나치게 넓으면 통합 응용 프로그램이 과도한 권한 부여 액세스 토큰을 통해 과도한 제어 및 무단 기능을 얻는 취약점이 발생합니다.
위협 시나리오
사용자 정의 범위가 제한되지 않은 외부 응용 프로그램이 고급 토큰 권한을 사용하여 관리 명령을 실행하거나 원래 비즈니스 요구 사항을 넘어 중요한 데이터에 액세스하는 공격자가 손상됩니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
세분화된 사용자 정의 범위를 구현하지 못하면 최소 권한이 적용되지 않으므로 잠재적으로 타사 도구의 단일 취약성이 Salesforce 환경의 전체 규모의 저하로 에스컬레이션됩니다.
위험이 높은 경우
사용자 정의 범위가 전역 또는 와일드카드 권한에 매핑되어 외부 클라이언트에게 제한 없이 모든 개체에서 레코드를 읽고 쓰거나 삭제할 수 있는 권한을 부여하는 경우
낮은 위험 시기
회사에서 강력한 OAuth 범위 유효성 검사를 사용하고 각 통합이 운영에 필요한 절대 최소 기능 클레임만 요청하는지 확인하기 위해 엄격한 내부 코드 검토를 적용하는 경우
비즈니스 및 통합 고려 사항
정확한 사용자 정의 범위를 정의하면 회사 보안 조치가 개선되지만 개발자가 응용 프로그램 논리를 명시적으로 업데이트하여 특정 API 호출에 대해 제한된 토큰을 요청하고 처리해야 합니다.
권장 수정
외부 클라이언트 앱의 OAuth 설정으로 이동하여 특정 사용자 정의 범위를 정의한 다음, 관련 정책에 해당 범위를 할당하여 모든 클라이언트 요청에 대한 액세스를 제한합니다.
보안 상태 검토 지침
보안 상태 검토는 최소 권한 원칙을 적용하고 타사 통합이 Salesforce 인스턴스에 대한 과도한 제어를 얻지 못하도록 방지하기 위해 세부적인 사용자 정의 범위를 사용하는 것이 좋습니다.
