Você está aqui:
Configurar políticas do OAuth: Gerenciar as credenciais de OAuth do aplicativo cliente externo com o Gerenciador de segredos da AWS
Essa integração de segurança permite que o Salesforce sincronize e armazene automaticamente segredos do consumidor do OAuth do aplicativo cliente externo diretamente em um cofre centralizado do AWS Secrets Manager.
Nome do controle
Aplicativos cliente externos: Configurar políticas do OAuth: Gerenciar as credenciais de OAuth do aplicativo cliente externo com o Gerenciador de segredos da AWS
Configuração recomendada
Gerencie as credenciais de OAuth do aplicativo cliente externo com o Gerenciador de segredos da AWS.
Visão geral de controle
Essa integração de segurança permite que o Salesforce sincronize e armazene automaticamente segredos do consumidor do OAuth do Aplicativo cliente externo diretamente em um cofre centralizado do Gerente de segredos da AWS, em vez de mantê-los como metadados estáticos na Salesforce Platform.
Risco de segurança, se não configurado
O gerenciamento externo fraco ou o armazenamento descentralizado de segredos do OAuth levam a um risco de violação de ponto único em que um compromisso de credenciais não protegidas expõe todos os serviços de back-end integrados a acesso não autorizado.
Cenários de ameaça
Um invasor obtém acesso a um arquivo de configuração de texto simples ou a uma interface administrativa desprotegida contendo segredos estáticos e usa essas credenciais para personificar o aplicativo cliente externo em vários ambientes de produção.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Não usar um cofre gerenciado ou com backup de hardware resulta em exposição de credencial persistente, pois os segredos comprometidos geralmente permanecem válidos por períodos estendidos sem o benefício de rotação automatizada ou registro de auditoria centralizado.
Risco maior quando
Quando o mesmo segredo do OAuth é compartilhado manualmente em vários ambientes de nuvem distribuídos ou armazenado em sistemas de controle de versão sem proteção criptográfica.
Baixo risco quando
Se a empresa já usa uma política de gerenciamento de acesso baseada em identidade robusta na AWS que restrinja a recuperação secreta a pontos de extremidade de VPC verificados e papéis de execução específicos.
Considerações de negócios e integração
A implementação desse controle requer uma conta AWS ativa e a configuração de uma credencial nomeada no Salesforce para estabelecer um caminho de autenticação mútua seguro entre as duas plataformas de nuvem.
Remediação recomendada
Configure o aplicativo cliente externo para usar o AWS Secrets Manager para armazenamento de credenciais definindo o segredo Nome do recurso da Amazon e estabelecendo as políticas de autorização entre nuvens necessárias.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica o uso do gerenciamento de segredo externalizado como um padrão altamente recomendado para integrações de alta garantia para garantir que artefatos de autenticação confidenciais sejam protegidos por políticas de rotação automatizadas e de cofre de nível corporativo.
