U bent hier:
OAuth-beleidsvormen configureren: OAuth-inloggegevens van de externe clientapp beheren met AWS Secrets Manager
Met deze beveiligingsintegratie kan Salesforce automatisch OAuth-consumentengeheimen van de externe client-app rechtstreeks synchroniseren en opslaan in een gecentraliseerde AWS Secrets Manager-kluis.
Controlenaam
Externe clientapps: OAuth-beleidsvormen configureren: OAuth-inloggegevens van de externe clientapp beheren met AWS Secrets Manager
Aanbevolen configuratie
Beheer de OAuth-inloggegevens van de externe clientapp met AWS Secrets Manager.
Overzicht van besturingselementen
Met deze beveiligingsintegratie kan Salesforce automatisch OAuth-consumentengeheimen van de externe client-app rechtstreeks synchroniseren en opslaan in een gecentraliseerde kluis van AWS Secrets Manager, in plaats van deze als statische metagegevens te onderhouden binnen het Salesforce-platform.
Beveiligingsrisico indien niet geconfigureerd
Zwak extern beheer of gedecentraliseerde opslag van OAuth-geheimen leidt tot een inbreukrisico van één punt waarbij een compromis van onbeveiligde inloggegevens alle geïntegreerde back-endservices blootstelt aan ongeoorloofde toegang.
Dreigingsscenario's
Een aanvaller krijgt toegang tot een configuratiebestand met platte tekst of een onbeschermde beheerinterface met statische geheimen en gebruikt die inloggegevens om zich voor te doen als de externe clienttoepassing in meerdere productieomgevingen.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het niet gebruiken van een door hardware ondersteunde of beheerde kluis resulteert in aanhoudende blootstelling van inloggegevens, aangezien gecompromitteerde geheimen vaak gedurende langere perioden geldig blijven zonder het voordeel van geautomatiseerde rotatie of gecentraliseerde controlelogboeken.
Hoger risico wanneer
Wanneer hetzelfde OAuth-geheim handmatig wordt gedeeld tussen meerdere gedistribueerde cloudomgevingen of wordt opgeslagen in versiebeheersystemen zonder cryptografische bescherming.
Laag risico wanneer
Als het bedrijf al een robuust, op identiteit gebaseerd beleid voor toegangsbeheer binnen AWS gebruikt dat het ophalen van geheime gegevens beperkt tot specifieke geverifieerde VPC-eindpunten en uitvoeringsrollen.
Overwegingen bij bedrijf en integratie
De implementatie van dit besturingselement vereist een actieve AWS-account en de configuratie van een benoemd gegeven in Salesforce om een beveiligd wederzijds authenticatietraject tussen de twee cloudplatforms tot stand te brengen.
Aanbevolen oplossing
Configureer de Externe client-app om AWS Secrets Manager te gebruiken voor de opslag van inloggegevens door de geheime Amazon-resourcenaam te definiëren en het benodigde autorisatiebeleid voor meerdere clouds in te stellen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het gebruik van extern geheimbeheer als een sterk aanbevolen standaard voor integraties met grote zekerheid om ervoor te zorgen dat gevoelige authenticatie-artefacten worden beschermd door enterprise-grade vaulting en geautomatiseerd roulatiebeleid.
