Sie befinden sich hier:
Konfigurieren von OAuth-Richtlinien: Verwalten von OAuth-Anmeldeinformationen der externen Client-Anwendung mit dem AWS Secrets Manager
Durch diese Sicherheitsintegration kann Salesforce die OAuth-Verbrauchergeheimnisse der externen Client-Anwendung automatisch direkt in einem zentralen Tresor des Managers für AWS-Geheimnisse synchronisieren und speichern.
Steuerelementname
Externe Client-Anwendungen: Konfigurieren von OAuth-Richtlinien: Verwalten von OAuth-Anmeldeinformationen der externen Client-Anwendung mit dem AWS Secrets Manager
Empfohlene Konfiguration
Verwalten Sie OAuth-Anmeldeinformationen der externen Client-Anwendung mit dem AWS Secrets Manager.
Steuerelementübersicht
Durch diese Sicherheitsintegration kann Salesforce OAuth-Verbrauchergeheimnisse der externen Client-Anwendung automatisch direkt in einem zentralen Tresor des Managers für AWS-Geheimnisse synchronisieren und speichern, statt sie als statische Metadaten auf der Salesforce Platform zu verwalten.
Sicherheitsrisiko, wenn nicht konfiguriert
Die schwache externe Verwaltung oder die dezentrale Speicherung von OAuth-Geheimnissen führt zu einem Risiko, dass bei einer Kompromittierung nicht gesicherter Anmeldeinformationen alle integrierten Backend-Services nicht autorisiertem Zugriff ausgesetzt werden.
Bedrohungsszenarien
Ein Angreifer erhält Zugriff auf eine Nur-Text-Konfigurationsdatei oder eine ungeschützte Verwaltungsoberfläche mit statischen Geheimnissen und verwendet diese Anmeldeinformationen, um sich in mehreren Produktionsumgebungen als externe Client-Anwendung auszugeben.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Die Nichtverwendung eines hardwaregestützten oder verwalteten Tresors führt zu einer persistenten Offenlegung von Anmeldeinformationen, da kompromittierte Geheimnisse oft über längere Zeiträume gültig bleiben, ohne dass eine automatisierte Rotation oder eine zentralisierte Überprüfungsprotokollierung erforderlich ist.
Höheres Risiko, wenn
Wenn dasselbe OAuth-Geheimnis manuell in mehreren verteilten Cloud-Umgebungen freigegeben oder in Versionskontrollsystemen ohne kryptografischen Schutz gespeichert wird.
Geringes Risiko, wenn
Wenn das Unternehmen bereits eine zuverlässige, identitätsbasierte Zugriffsverwaltungsrichtlinie in AWS verwendet, die den geheimen Abruf auf bestimmte überprüfte VPC-Endpunkte und Ausführungsrollen beschränkt.
Überlegungen zu Unternehmen und Integration
Für die Implementierung dieser Steuerung sind ein aktiver AWS-Account und die Konfiguration von Anmeldeinformationen mit Namen in Salesforce erforderlich, um einen sicheren Pfad zur gegenseitigen Authentifizierung zwischen den beiden Cloud-Plattformen einzurichten.
Empfohlene Sanierung
Konfigurieren Sie die externe Client-Anwendung so, dass AWS Secrets Manager für die Speicherung von Anmeldeinformationen verwendet wird, indem Sie den geheimen Amazon-Ressourcennamen definieren und die erforderlichen cloudübergreifenden Autorisierungsrichtlinien einrichten.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Verwendung der externen Geheimnisverwaltung als dringend empfohlenen Standard für Integrationen mit hoher Sicherung, um sicherzustellen, dass sensible Authentifizierungsartefakte durch Tresorspringen auf Unternehmensebene und automatisierte Rotationsrichtlinien geschützt sind.
