위치:
OAuth 정책 구성: 사용자 정의 특성 보안
이 보안 설정을 사용하면 Salesforce 관리자가 암호화된 OAuth ID 토큰에 삽입되는 특정 사용자 수준 메타데이터 및 회사 클레임을 정의하고 제한할 수 있습니다.
제어 이름
외부 클라이언트 앱: OAuth 정책 구성: 사용자 정의 특성 보안
권장 구성
외부 클라이언트 앱에 대한 사용자 정의 특성을 구성합니다.
제어 개요
이 보안 설정을 사용하면 Salesforce 관리자가 암호화된 OAuth ID 토큰에 삽입되는 특정 사용자 수준 메타데이터 및 회사 클레임을 정의하고 제한할 수 있습니다.
구성되지 않은 경우 보안 위험
명시적으로 정의된 사용자 정의 특성 및 관련 보안 정책이 없으면 타사 통합이 기본 또는 과도하게 허용되는 토큰 페이로드에서 민감한 정보를 추출하여 조직 메타데이터의 무단 수집을 수행할 수 있습니다.
위협 시나리오
악의적이거나 잘못 관리되는 타사 응용 프로그램이 ID 토큰에 포함된 내부 회사 구조, 부서 계층 또는 사용자 정의 사용자 필드를 프로그래밍 방식으로 스크래핑하여 내부 기업 환경의 상세한 맵을 작성합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
무단으로 메타데이터를 수집하면 대상이 지정된 소셜 엔지니어링 공격 및 직원 섀도프로파일링이 가능해 내부 비즈니스 논리와 관리 관계가 외부 엔티티에 노출될 수 있습니다.
위험이 높은 경우
통합에 광범위한 데이터 액세스 권한이 부여되거나 ID 토큰에 여러 외부 데이터 집합에서 연관될 수 있는 높은 엔트로피 식별자가 포함되어 있는 경우
낮은 위험 시기
회사에서 ID 토큰 클레임에 엄격한 허용 목록을 적용하고 강화된 토큰 교환 처리기를 사용하여 모든 아웃바운드 ID 어설션을 비활성화하는 경우
비즈니스 및 통합 고려 사항
제한된 사용자 정의 특성을 구현하면 외부 파트너가 기업 데이터 보존 및 개인정보보호 표준을 준수하면서 기능 인가에 필요한 최소 데이터만 수신하게 됩니다.
권장 수정
외부 클라이언트 앱의 OAuth 정책으로 이동하여 제한된 사용자 정의 특성 집합을 정의하고 ID 토큰에 필요한 조직 메타데이터만 노출되는지 확인합니다.
보안 상태 검토 지침
보안 건전성 검토는 ID 청구를 세분화하여 메타데이터 수집으로부터 방어하는 것이 좋습니다. 따라서 타사 통합은 모든 회사 데이터에 대해 엄격한 알아야 하는 모델에 따라 작동합니다.
