您在此处:
配置 OAuth 策略:使用 AWS 密码管理器控制管理外部客户端应用程序 OAuth 凭据
这种安全集成使 Salesforce 能够自动同步外部客户端应用程序 OAuth 使用者密码,并将其直接存储在集中的 AWS 密码管理器保管库中。
控件名称
外部客户端应用程序:配置 OAuth 策略:使用 AWS 密码管理器管理外部客户端应用程序 OAuth 凭据
推荐配置
使用 AWS 密码管理器管理外部客户端应用程序 OAuth 凭据。
控制概览
这种安全集成使 Salesforce 能够自动同步外部客户端应用程序 OAuth 使用者密码并将其直接存储在集中的 AWS 密码管理器保管库中,而不是将它们维护为 Salesforce 平台中的静态元数据。
安全风险(如果未配置)
OAuth 密码的外部管理薄弱或分散存储导致单点泄露风险,不安全凭据的泄露会将所有集成的后端服务暴露在未经授权的访问中。
威胁场景
攻击者获得对纯文本配置文件或包含静态密码的不受保护的管理界面的访问权限,并使用这些凭据在多个生产环境中冒充外部客户端应用程序。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
无法使用硬件备份或受管保管库会导致持续的凭据泄露,因为被盗用的密码通常可以长期有效,而没有自动轮换或集中审计日志的好处。
高风险
当相同的 OAuth 密码在多个分布式云环境中手动共享或存储在没有加密保护的版本控制系统中时。
低风险
如果公司已经在 AWS 中使用强大的基于身份的访问管理策略,将秘密检索限制为特定的已验证 VPC 端点和执行角色。
业务和集成注意事项
实施此控制需要有效的 AWS 帐户,并在 Salesforce 中配置命名凭据,以便在两个云平台之间建立安全的相互身份验证路径。
建议的补救措施
通过定义密码 Amazon 资源名称和建立必要的跨云授权策略,配置外部客户端应用程序,以将 AWS 密码管理器用于凭据存储。
安全健康审查指导
安全健康审查将外部密码管理的使用确定为高保证集成的强烈建议标准,以确保敏感的身份验证工件受到企业级保险存储和自动轮换策略的保护。
