Vous êtes ici :
Configurer des stratégies OAuth : Gestion des identifiants OAuth de l'application cliente externe avec le contrôle AWS Secrets Manager
Cette intégration de sécurité permet à Salesforce de synchroniser et de stocker automatiquement les secrets consommateur OAuth de l'application cliente externe directement dans un coffre-fort centralisé AWS Secrets Manager.
Nom du contrôle
Applications clientes externes : Configurer des stratégies OAuth : Gestion des identifiants OAuth de l'application cliente externe avec le Gestionnaire de secrets AWS
Configuration recommandée
Gérez les identifiants OAuth de l'application cliente externe avec le Gestionnaire de secrets AWS.
Vue d'ensemble du contrôle
Cette intégration de sécurité permet à Salesforce de synchroniser et de stocker automatiquement les secrets consommateurs OAuth de l'application cliente externe directement dans un coffre-fort centralisé AWS Secrets Manager, plutôt que de les conserver en tant que métadonnées statiques dans Salesforce Platform.
Risque de sécurité s'il n'est pas configuré
Une gestion externe déficiente ou un stockage décentralisé des secrets OAuth entraîne un risque d'atteinte à un point unique où une compromission des identifiants non sécurisés expose tous les services back-end intégrés à un accès non autorisé.
Scénarios de menace
Un assaillant accède à un fichier de configuration en texte brut ou à une interface administrative non protégée contenant des secrets statiques et utilise ces identifiants pour usurper l'identité de l'application cliente externe dans plusieurs environnements de production.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'absence d'un coffre-fort géré ou garanti par le matériel entraîne une exposition persistante aux identifiants, car les secrets compromis restent souvent valides pendant de longues périodes sans bénéficier d'une rotation automatisée ou d'une consignation d'audit centralisée.
Risque plus élevé quand
Lorsque le même secret OAuth est partagé manuellement entre plusieurs environnements cloud distribués ou stocké dans des systèmes de contrôle de version sans protection cryptographique.
Risque faible quand
Si l'entreprise utilise déjà une stratégie robuste de gestion de l'accès basée sur l'identité dans AWS qui limite la récupération secrète à des points de terminaison et des rôles d'exécution VPC vérifiés spécifiques.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de ce contrôle nécessite un compte AWS actif et la configuration d'un identifiant nommé dans Salesforce pour établir un chemin d'authentification mutuelle sécurisé entre les deux plates-formes cloud.
Remédiation recommandée
Configurez l'application cliente externe pour utiliser le Gestionnaire de secrets AWS pour le stockage d'identifiants en définissant le nom secret de la ressource Amazon et en établissant les stratégies d'autorisation inter-cloud nécessaires.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation de la gestion des secrets externalisée comme une norme fortement recommandée pour les intégrations à assurance élevée afin de s'assurer que les artefacts d'authentification confidentiels sont protégés par des stratégies de voûte d'entreprise et de rotation automatisée.
