Vous êtes ici :
Configurer des stratégies OAuth : Contrôle de sécurité des attributs personnalisés
Ce paramètre de sécurité permet aux administrateurs Salesforce de définir et de restreindre les métadonnées spécifiques au niveau de l'utilisateur et les réclamations de l'entreprise qui sont injectées dans le jeton d'ID OAuth signé cryptographiquement.
Nom du contrôle
Applications clientes externes : Configurer des stratégies OAuth : Sécurité des attributs personnalisés
Configuration recommandée
Configurez un attribut personnalisé pour les applications clientes externes.
Vue d'ensemble du contrôle
Ce paramètre de sécurité permet aux administrateurs Salesforce de définir et de restreindre les métadonnées spécifiques au niveau de l'utilisateur et les réclamations de l'entreprise qui sont injectées dans le jeton d'ID OAuth signé cryptographiquement.
Risque de sécurité s'il n'est pas configuré
Sans attributs personnalisés explicitement définis et stratégies de sécurité associées, les intégrations tierces peuvent effectuer une récolte non autorisée de métadonnées organisationnelles en extrayant des informations confidentielles à partir de charges de travail par défaut ou de jetons trop permissifs.
Scénarios de menace
Une application tierce malveillante ou mal gérée supprime par programmation les structures internes de l'entreprise, les hiérarchies de services ou les champs utilisateur personnalisés inclus dans le jeton d'identification pour élaborer une carte détaillée de l'environnement interne de l'entreprise.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
La collecte non autorisée de métadonnées facilite les attaques ciblées d'ingénierie sociale et le profilage fictif de la force de travail, exposant potentiellement la logique métier interne et les relations administratives à des entités externes.
Risque plus élevé quand
L'intégration reçoit de larges autorisations d'accès aux données ou lorsque le jeton d'identification inclut des identifiants à entropie élevée qui peuvent être corrélés entre plusieurs jeux de données externes.
Risque faible quand
Si l'entreprise applique une liste d'autorisations stricte pour les réclamations de jeton d'identification et utilise un gestionnaire d'échange de jetons durci pour désinfecter toutes les assertions d'identité sortantes.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation d'attributs personnalisés restreints garantit que les partenaires externes reçoivent uniquement les données minimales requises pour l'autorisation fonctionnelle, tout en respectant les normes de résidence des données et de confidentialité de l'entreprise.
Remédiation recommandée
Accédez aux stratégies OAuth de l'application cliente externe pour définir un ensemble limité d'attributs personnalisés et assurez-vous que seules les métadonnées organisationnelles nécessaires sont exposées dans le jeton d'identification.
Guide d'examen sanitaire de sécurité
Security Health Review identifie le contrôle précis des réclamations d'identité comme une défense fortement recommandée contre la récolte de métadonnées, afin que les intégrations tierces fonctionnent selon un modèle strict à connaître pour toutes les données de l'entreprise.
