您在此处:
配置 OAuth 策略:管理外部客户端应用程序 OAuth 使用情况控制
此安全设置为 Salesforce 管理员提供了集中的界面,以监控、安装和阻止单个外部客户端应用程序实例,从而规范哪些第三方集成可以主动访问组织数据。
控件名称
外部客户端应用程序:配置 OAuth 策略:管理外部客户端应用程序 OAuth 使用情况
推荐配置
管理外部客户端应用程序 OAuth 使用情况。
控制概览
此安全设置为 Salesforce 管理员提供了集中的界面,以监控、安装和阻止单个外部客户端应用程序实例,从而规范哪些第三方集成可以主动访问组织数据。
安全风险(如果未配置)
外部客户端应用程序的 OAuth 使用情况不受监控,导致未经授权的应用程序活动和数据泄露,由于缺乏对活动会话生命周期和集成权限的可见性,这些活动和数据泄露可能会在不被检测到的情况下进行。
威胁场景
以前授权但现在不安全的第三方应用程序在其业务实用程序结束后很长时间内继续以编程方式收集敏感记录,因为管理员没有机制来审计或撤销其有效的 OAuth 足迹。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不主动管理应用程序使用情况会导致非受管攻击表面,其中受损的外部服务可以保持与 Salesforce 环境的持久连接,而无需定期进行安全审查。
高风险
当外部应用程序被授予广泛的范围(例如完全数据访问或刷新令牌功能)并且不受自动会话到期或基于 IP 的限制时。
低风险
如果公司在生产环境中安装任何外部客户端应用程序之前,使用实时 Event Monitoring 对异常 API 流量模式发出警报,并实施严格的审批流程。
业务和集成注意事项
实施使用管理以保持公司遵守数据处理协议,尽管在没有事先通知的情况下阻止广泛使用的集成可能会导致关键的业务流程中断。
建议的补救措施
转到外部客户端应用程序的 OAuth 使用情况页面,查看有效集成,卸载不必要的应用程序,并阻止任何可疑或未批准的客户端访问组织。
安全健康审查指导
安全运行状况审查将 OAuth 使用情况的持续监控确定为强烈建议的标准,以保持强化的安全状况,以便明确跟踪所有第三方访问,并与当前的业务需求保持一致。
