Você está aqui:
Configurar políticas do OAuth: Gerenciar o URL de início para aplicativos cliente externos
Essa configuração de segurança permite que os administradores do Salesforce definam e validem o URL da página de destino específico para o qual os usuários são direcionados após a conclusão do processo de autorização OAuth para um aplicativo cliente externo.
Nome do controle
Aplicativos cliente externos: Configurar políticas do OAuth: Gerenciar o URL de início para aplicativos cliente externos
Configuração recomendada
Gerencie o URL de início para aplicativos cliente externos.
Visão geral de controle
Essa configuração de segurança permite que os administradores do Salesforce definam e validem o URL da página de destino específico para o qual os usuários são direcionados após a conclusão do processo de autorização OAuth para um aplicativo cliente externo.
Risco de segurança, se não configurado
URLs iniciais não validados para aplicativos cliente externos levam a uma vulnerabilidade a ataques de phishing de redirecionamento aberto em que pontos de entrada legítimos do Salesforce são manipulados para encaminhar os usuários para domínios externos mal-intencionados.
Cenários de ameaça
Um invasor cria um link de login formatado especialmente que inclui um parâmetro de URL inicial inadvertido, levando um usuário autenticado a um site de coleta de credenciais falsificado imediatamente após um login bem-sucedido no Salesforce.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Não restringir os destinos de redirecionamento facilita sofisticadas campanhas de engenharia social que aproveitam o Trust do domínio do Salesforce para comprometer as credenciais do usuário ou distribuir malware.
Risco maior quando
Quando o aplicativo cliente externo é usado por administradores de alto privilégio ou quando a empresa não tem listas de bloqueio globais para domínios mal-intencionados conhecidos.
Baixo risco quando
Se a empresa já tiver configurado listas de permissões de redirecionamento restritas nas configurações de CSP e CORS do Salesforce para evitar navegação de saída não autorizada.
Considerações de negócios e integração
A implementação de um URL de início fixo garante uma experiência de usuário consistente e com marca, embora exija atualização se a estrutura de diretório interna do aplicativo de destino mudar.
Remediação recomendada
Acesse as Configurações do aplicativo cliente externo e defina um URL inicial específico e validado para garantir que todo o tráfego pós-autorização seja roteado para um destino confiável.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica o gerenciamento de destinos de redirecionamento como um padrão altamente recomendado para evitar o uso indevido de fluxos de identidade confiáveis para phishing e para manter a integridade do caminho de navegação do usuário.
