Вы находитесь здесь:
Настройка политик OAuth: Настройка настраиваемых областей для приложений внешних клиентов
Этот параметр безопасности позволяет администраторам Salesforce определять определенные ограниченные полномочия доступа, позволяющие внешним приложениям взаимодействовать только с назначенными защищенными ресурсами.
Управление именем
Приложения внешних клиентов: Настройка политик OAuth: Настройка настраиваемых областей для приложений внешних клиентов
Рекомендованная конфигурация
Настройка настраиваемых областей для приложений внешних клиентов.
Общие сведения о контроле
Этот параметр безопасности позволяет администраторам Salesforce определять конкретные ограниченные полномочия доступа, позволяющие внешним приложениям взаимодействовать только с назначенными защищенными ресурсами, а не со всем набором данных организации.
Риск безопасности, если он не настроен
Слишком широкие настраиваемые области для подключенных клиентов приводят к уязвимости, когда интегрированные приложения получают чрезмерный контроль и несанкционированные функциональные возможности посредством маркеров доступа с избыточными правами.
Сценарии угроз
Внешнее приложение с неограниченной настраиваемой областью компрометируется злоумышленником, который потом использует повышенные полномочия маркера для выполнения административных команд или доступа к конфиденциальным данным, выходящим за пределы исходных бизнес-требований.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Неспособность внедрить детализированные настраиваемые области приводит к отсутствию реализации наименьших прав, что потенциально может привести к тому, что одна уязвимость стороннего инструмента перерастет в полномасштабный компромисс среды Salesforce.
Повышенный риск при
Если настраиваемые области соотносятся с глобальными полномочиями или полномочиями специальных символов, предоставляющими внешнему клиенту возможность чтения, записи или удаления записей во всех объектах без ограничений.
Низкий риск при
Если компания использует надежное средство проверки области OAuth и применяет строгие проверки внутреннего кода, чтобы обеспечить только запрос абсолютного минимума функциональных претензий, необходимых для ее работы.
Рекомендации по бизнесу и интеграции
Определение точных настраиваемых областей улучшает состояние безопасности компании, но требует от разработчиков явного обновления логики приложения для запроса и обработки ограниченных маркеров для определенных вызовов API.
Рекомендованное исправление
Перейдите в «Параметры OAuth для приложения внешнего клиента» для определения определенных настраиваемых областей, а потом назначьте эти области соответствующим политикам, чтобы обеспечить ограниченный доступ для всех запросов клиентов.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет использование детализированных настраиваемых областей в качестве настоятельно рекомендуемого стандарта для внедрения принципа наименьших привилегий и предотвращения получения сторонними интеграциями чрезмерного контроля над экземпляром Salesforce.
