Ti trovi qui:
Configurazione delle policy OAuth: Gestione delle credenziali OAuth dell'app client esterna con il Gestore segreti AWS
Questa integrazione di sicurezza consente a Salesforce di sincronizzare e archiviare automaticamente i segreti consumatore OAuth dell'app client esterna direttamente all'interno di un caveau AWS Secrets Manager centralizzato.
Nome controllo
App client esterne: Configurazione delle policy OAuth: Gestione delle credenziali OAuth dell'app client esterna con il Gestore segreti AWS
Configurazione consigliata
Gestire le credenziali OAuth dell'app client esterna con il Gestore segreti AWS.
Panoramica sul controllo
Questa integrazione di sicurezza consente a Salesforce di sincronizzare e archiviare automaticamente i segreti consumatore OAuth dell'app client esterna direttamente all'interno di un vault AWS Secrets Manager centralizzato anziché mantenerli come metadati statici all'interno della piattaforma Salesforce.
Rischio per la sicurezza se non configurato
Una gestione esterna debole o l'archiviazione decentralizzata dei segreti OAuth causano un rischio di violazione a punto singolo in cui una compromissione delle credenziali non protette espone tutti i servizi di backend integrati all'accesso non autorizzato.
Scenari di minaccia
Un aggressore ottiene l'accesso a un file di configurazione in formato testo normale o a un'interfaccia amministrativa non protetta contenente segreti statici e utilizza tali credenziali per impersonare l'applicazione client esterna in più ambienti di produzione.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
Il mancato utilizzo di un caveau gestito o supportato da hardware determina un'esposizione persistente delle credenziali, poiché i segreti compromessi spesso rimangono validi per periodi prolungati senza il vantaggio della rotazione automatica o della registrazione di controllo centralizzata.
Rischio maggiore quando
Quando lo stesso segreto OAuth viene condiviso manualmente in più ambienti cloud distribuiti o archiviato in sistemi di controllo delle versioni senza protezione crittografica.
Basso rischio quando
Se l'azienda utilizza già una policy di gestione degli accessi robusta e basata sull'identità in AWS che limita il recupero dei segreti a endpoint VPC e ruoli di esecuzione specifici verificati.
Considerazioni su Business e integrazione
L'implementazione di questo controllo richiede un account AWS attivo e la configurazione di una credenziale denominata in Salesforce per stabilire un percorso di autenticazione reciproca sicuro tra le due piattaforme cloud.
Rimedio consigliato
Configurare l'app client esterna per l'utilizzo del Gestore segreti AWS per l'archiviazione delle credenziali definendo il Nome risorsa Amazon segreto e stabilendo le policy di autorizzazione cross-cloud necessarie.
Guida all'esame dello stato della sicurezza
Security Health Review identifica l'uso della gestione dei segreti esternalizzati come uno standard fortemente consigliato per le integrazioni High Assurance per assicurarsi che gli artefatti di autenticazione sensibili siano protetti da vaulting di livello aziendale e policy di rotazione automatizzate.
