Usted está aquí:
Configurar políticas de OAuth: Gestionar la URL de inicio para aplicaciones cliente externas
Esta configuración de seguridad permite a los administradores de Salesforce definir y validar la URL de página de destino específica a la que se dirigen los usuarios tras completar el proceso de autorización de OAuth para una aplicación cliente externa.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Gestionar la URL de inicio para aplicaciones cliente externas
Configuración recomendada
Gestione la URL de inicio para aplicaciones cliente externas.
Descripción general de control
Esta configuración de seguridad permite a los administradores de Salesforce definir y validar la URL de página de destino específica a la que se dirigen los usuarios tras completar el proceso de autorización de OAuth para una aplicación cliente externa.
Riesgo de seguridad si no está configurado
Las direcciones URL de inicio no validadas para aplicaciones cliente externas llevan a una vulnerabilidad a ataques de phishing de redireccionamiento abierto donde se manipulan puntos de entrada legítimos de Salesforce para reenviar usuarios a dominios externos maliciosos.
Escenarios de amenazas
Un atacante crea un vínculo de inicio de sesión con formato especial que incluye un parámetro URL de inicio erróneo, lo que lleva a un usuario autenticado a un sitio de recolección de credenciales falsificado inmediatamente después de un inicio de sesión correcto de Salesforce.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
No restringir los destinos de redireccionamiento facilita campañas de ingeniería social sofisticadas que aprovechan la Trust del dominio de Salesforce para comprometer credenciales de usuario o distribuir malware.
Mayor riesgo cuando
Cuando la aplicación cliente externa es utilizada por administradores de alto privilegio o cuando la compañía carece de listas de bloqueo globales para dominios malintencionados conocidos.
Bajo riesgo cuando
Si la compañía ya configuró listas de admisión de redireccionamiento restringidas en la configuración de Salesforce CSP y CORS para evitar la navegación saliente no autorizada.
Consideraciones de negocio e integración
La implementación de una URL de inicio fija garantiza una experiencia de usuario coherente y con marca, aunque requiere actualización si cambia la estructura de directorio interno de la aplicación de destino.
Remediación recomendada
Vaya a Configuración para la aplicación cliente externa y defina una URL de inicio validada específica para garantizar que todo el tráfico posterior a la autorización se enrute a un destino de confianza.
Directrices de revisión del estado de seguridad
Security Health Review identifica la gestión de destinos de redireccionamiento como un estándar altamente recomendado para evitar el abuso de flujos de identidad de confianza para phishing y mantener la integridad de la ruta de navegación del usuario.
