您位於此處:
設定 OAuth 原則:設定外部用戶端應用程式的自訂範圍
此安全性設定可讓 Salesforce 管理員定義特定的有限存取權限,讓外部應用程式只能與指定的受保護資源互動。
控制名稱
外部用戶端應用程式:設定 OAuth 原則:設定外部用戶端應用程式的自訂範圍
建議組態
設定外部用戶端應用程式的自訂範圍。
控制概觀
此安全性設定可讓 Salesforce 管理員定義特定的有限存取權限,允許外部應用程式僅與指定的受保護資源互動,而非整個組織資料集。
未設定安全性風險
連線用戶端的過度寬廣自訂範圍會導致整合應用程式透過權限過多的存取權杖取得過度控制和未經授權的功能功能。
威脅情況
具有不受限制自訂範圍的外部應用程式會遭到攻擊者入侵,該攻擊者接著會使用增強權杖權限來執行管理指令或存取超出原始業務需求的敏感資料。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
實作細微的自訂範圍失敗會導致缺乏最低權限強制執行,可能會允許第三方工具中的單一漏洞升級為 Salesforce 環境的全規模破解。
風險愈高時機
當自訂範圍對應至全域或萬用字元權限時,可授與外部用戶端在所有物件之間讀取、寫入或刪除記錄的能力,而不受限制。
低度風險時機
如果公司使用強大的 OAuth 範圍驗證程式並強制執行嚴格的內部程式碼審查,以確保每個整合僅要求其作業所需的絕對最低功能宣告。
業務與整合考量事項
定義精確的自訂範圍可改善公司安全性狀況,但需要開發人員明確更新應用程式邏輯,以針對特定 API 呼叫要求及處理受限制的權杖。
建議的補救措施
前往「外部用戶端應用程式的 OAuth 設定」以定義特定自訂範圍,然後將這些範圍指派給相關原則,以確保所有用戶端要求的存取權受到限制。
安全性健康檢閱指南
Security Health Review 將使用細微的自訂範圍識別為強烈建議的標準,以強制執行最低權限原則,並防止第三方整合對 Salesforce 例項取得過度控制。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
