Vous êtes ici :
Configurer des stratégies OAuth : Gestion de l'URL de départ pour des applications clientes externes
Ce paramètre de sécurité permet aux administrateurs Salesforce de définir et de valider l'URL de page de destination spécifique vers laquelle les utilisateurs sont dirigés après avoir terminé le processus d'autorisation OAuth pour une application cliente externe.
Nom du contrôle
Applications clientes externes : Configurer des stratégies OAuth : Gestion de l'URL de départ pour des applications clientes externes
Configuration recommandée
Gérez l'URL de départ des applications clientes externes.
Vue d'ensemble du contrôle
Ce paramètre de sécurité permet aux administrateurs Salesforce de définir et de valider l'URL de page de destination spécifique vers laquelle les utilisateurs sont dirigés après avoir terminé le processus d'autorisation OAuth pour une application cliente externe.
Risque de sécurité s'il n'est pas configuré
Les URL de départ non validées pour les applications clientes externes entraînent une vulnérabilité aux attaques par hameçonnage de redirection ouverte lorsque des points d'entrée Salesforce légitimes sont manipulés pour rediriger les utilisateurs vers des domaines externes malveillants.
Scénarios de menace
Un assaillant crée un lien de connexion spécialement mis en forme qui inclut un paramètre d'URL de départ malhonnête, conduisant un utilisateur authentifié vers un site de collecte d'identifiants usurpé immédiatement après une connexion Salesforce réussie.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Ne pas restreindre les cibles de redirection facilite les campagnes d'ingénierie sociale sophistiquées qui tirent parti de la Trust du domaine Salesforce pour compromettre les identifiants utilisateur ou distribuer des logiciels malveillants.
Risque plus élevé quand
Lorsque l'application cliente externe est utilisée par des administrateurs à privilèges élevés ou lorsque l'entreprise n'a pas de listes de blocage globales pour les domaines malveillants connus.
Risque faible quand
Si l'entreprise a déjà configuré des listes d'autorisations de redirection restreintes dans les paramètres Salesforce CSP et CORS afin d'empêcher toute navigation sortante non autorisée.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation d'une URL de départ fixe garantit une expérience utilisateur cohérente et de marque, mais nécessite une mise à jour si la structure du répertoire interne de l'application cible change.
Remédiation recommandée
Accédez aux Paramètres de l'application cliente externe, puis définissez une URL de départ spécifique et validée pour vous assurer que tout le trafic postérieur à l'autorisation est acheminé vers une destination approuvée.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la gestion des cibles de redirection comme une norme fortement recommandée afin d'empêcher l'abus de flux d'identité de confiance pour l'hameçonnage et de préserver l'intégrité du chemin de navigation de l'utilisateur.
