Sie befinden sich hier:
Konfigurieren von OAuth-Richtlinien: Sicherheit für benutzerdefinierte Attribute
Mit dieser Sicherheitseinstellung können Salesforce-Administratoren die spezifischen Metadaten und Unternehmensansprüche auf Benutzerebene definieren und einschränken, die in das kryptographisch signierte OAuth-ID-Token eingefügt werden.
Steuerelementname
Externe Client-Anwendungen: Konfigurieren von OAuth-Richtlinien: Sicherheit für benutzerdefinierte Attribute
Empfohlene Konfiguration
Konfigurieren Sie ein benutzerdefiniertes Attribut für externe Client-Anwendungen.
Steuerelementübersicht
Mit dieser Sicherheitseinstellung können Salesforce-Administratoren die spezifischen Metadaten und Unternehmensansprüche auf Benutzerebene definieren und einschränken, die in das kryptographisch signierte OAuth-ID-Token eingefügt werden.
Sicherheitsrisiko, wenn nicht konfiguriert
Ohne explizit definierte benutzerdefinierte Attribute und zugehörige Sicherheitsrichtlinien können Drittanbieterintegrationen das nicht autorisierte Ernten von Organisationsmetadaten durchführen, indem vertrauliche Informationen aus standardmäßigen oder zu zulässigen Token-Nutzlasten extrahiert werden.
Bedrohungsszenarien
Eine böswillige oder schlecht verwaltete Drittanbieteranwendung überprüft programmgesteuert interne Unternehmensstrukturen, Abteilungshierarchien oder benutzerdefinierte Benutzerfelder, die im ID-Token enthalten sind, um eine detaillierte Karte der internen Unternehmensumgebung zu erstellen.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Die nicht autorisierte Sammlung von Metadaten ermöglicht gezielte Social Engineering-Angriffe und Schattenprofilerstellung der Belegschaft, wodurch interne Geschäftslogik und Verwaltungsbeziehungen möglicherweise externen Einheiten zugänglich werden.
Höheres Risiko, wenn
Der Integration werden umfassende Datenzugriffsberechtigungen erteilt oder wenn das ID-Token Kennzeichner mit hoher Entropie enthält, die über mehrere externe Datensets hinweg korreliert werden können.
Geringes Risiko, wenn
Wenn das Unternehmen eine strenge Zulassungsliste für ID-Token-Ansprüche erzwingt und einen gehärteten Token-Austausch-Handler verwendet, um alle ausgehenden Identitätsbehauptungen zu bereinigen.
Überlegungen zu Unternehmen und Integration
Durch das Implementieren eingeschränkter benutzerdefinierter Attribute wird sichergestellt, dass externe Partner nur die Mindestdaten erhalten, die für die funktionale Autorisierung erforderlich sind, während gleichzeitig die Einhaltung der Standards für den Wohnsitz der Unternehmensdaten und den Datenschutz gewahrt bleibt.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Richtlinien der externen Client-Anwendung, um einen begrenzten Satz benutzerdefinierter Attribute zu definieren und sicherzustellen, dass nur die erforderlichen Organisationsmetadaten im ID-Token verfügbar sind.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die genaue Kontrolle von Identitätsansprüchen als dringend empfohlenen Schutz vor Metadatensammlung, sodass Drittanbieterintegrationen unter einem strengen Must-to-Know-Modell für alle Unternehmensdaten funktionieren.
