U bent hier:
OAuth-beleidsvormen configureren: Aangepaste bereiken configureren voor externe clientapps
Met deze beveiligingsinstelling kunnen Salesforce-beheerders specifieke, beperkte toegangsmachtigingen definiëren, waardoor externe toepassingen alleen interactie hebben met aangewezen beschermde resources.
Controlenaam
Externe clientapps: OAuth-beleidsvormen configureren: Aangepaste bereiken configureren voor externe clientapps
Aanbevolen configuratie
Configureer aangepaste bereiken voor externe clientapps.
Overzicht van besturingselementen
Met deze beveiligingsinstelling kunnen Salesforce-beheerders specifieke, beperkte toegangsmachtigingen definiëren waarmee externe toepassingen alleen interactie hebben met aangewezen beschermde resources in plaats van de gehele organisatorische gegevensset.
Beveiligingsrisico indien niet geconfigureerd
Te grote aangepaste bereiken voor verbonden clients leiden tot een kwetsbaarheid waarbij geïntegreerde toepassingen buitensporige controle en ongeautoriseerde functionele mogelijkheden krijgen via te veel geprivilegieerde toegangstokens.
Dreigingsscenario's
Een externe toepassing met een onbeperkt aangepast bereik wordt gecompromitteerd door een aanvaller die vervolgens de verhoogde tokenprivileges gebruikt om beheeropdrachten uit te voeren of toegang te krijgen tot gevoelige gegevens die verder gaan dan de oorspronkelijke bedrijfsvereiste.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het niet implementeren van fijnmazige aangepaste bereiken leidt tot een gebrek aan afdwinging van de minste rechten, waardoor één kwetsbaarheid in een externe tool kan escaleren tot een volledig compromis van de Salesforce-omgeving.
Hoger risico wanneer
Wanneer aangepaste bereiken worden toegewezen aan globale of jokertekenmachtigingen die de externe client de mogelijkheid geven om records voor alle objecten zonder beperking te lezen, schrijven of verwijderen.
Laag risico wanneer
Als het bedrijf een robuuste OAuth-bereikvalideringsroutine gebruikt en strenge interne codebeoordelingen afdwingt om ervoor te zorgen dat elke integratie alleen de absolute minimale functionele claims aanvraagt die vereist zijn voor de werking ervan.
Overwegingen bij bedrijf en integratie
Het definiëren van precieze aangepaste bereiken verbetert de beveiligingspositie van het bedrijf, maar vereist dat ontwikkelaars de toepassingslogica expliciet bijwerken om beperkte tokens voor specifieke API-aanroepen aan te vragen en af te handelen.
Aanbevolen oplossing
Ga naar de OAuth-instellingen voor de externe clientapp om specifieke aangepaste bereiken te definiëren en wijs deze bereiken vervolgens toe aan het relevante beleid om beperkte toegang voor alle clientverzoeken te garanderen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het gebruik van fijnmazige aangepaste bereiken als een sterk aanbevolen standaard om het principe van de minste rechten af te dwingen en te voorkomen dat externe integraties buitensporige controle krijgen over het Salesforce-exemplaar.
