您位於此處:
設定 OAuth 原則:自訂屬性安全性控制
此安全性設定可讓 Salesforce 管理員定義及限制將特定使用者層級中繼資料與公司宣告注入加密編碼簽署的 OAuth 識別碼權杖。
控制名稱
外部用戶端應用程式:設定 OAuth 原則:自訂屬性安全性
建議組態
設定外部用戶端應用程式的自訂屬性。
控制概觀
此安全性設定可讓 Salesforce 管理員定義及限制將特定使用者層級中繼資料與公司宣告注入加密編碼簽署的 OAuth 識別碼權杖。
未設定安全性風險
若沒有明確定義的自訂屬性和相關聯的安全性原則,第三方整合可能會透過從預設或過度允許的權杖裝載中提取敏感資訊,來執行組織中繼資料的未經授權收集。
威脅情況
惡意或受管理不良的第三方應用程式會以程式設計的方式將識別碼權杖中包含的內部公司結構、部門階層或自訂使用者欄位遭到裁切,以建立內部公司環境的詳細地圖。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
未經授權的中繼資料集合可促進鎖定目標的社交工程攻擊和人力影像設定,進而可能向外部實體公開內部業務邏輯和管理關係。
風險愈高時機
將廣泛的資料存取權限授與整合,或當識別碼權杖包含可跨多個外部資料集相關聯的高 Entropy 識別碼時。
低度風險時機
如果公司針對識別碼權杖宣告強制執行嚴格的允許清單,並使用強化的權杖交換處理常式來消毒所有輸出身分判斷式。
業務與整合考量事項
實作受限制的自訂屬性可確保外部合作夥伴只會收到功能授權所需的最少資料,同時維持公司資料落地與隱私權標準的合規性。
建議的補救措施
前往外部用戶端應用程式的 OAuth 原則,以定義有限的自訂屬性集,並確保在識別碼權杖中僅顯示必要的組織中繼資料。
安全性健康檢閱指南
Security Health Review 將身分宣告的細微控制識別為強烈建議的中繼資料收集防禦措施,讓第三方整合以嚴格的需要瞭解模型來針對所有公司資料運作。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
