Usted está aquí:
Configurar políticas de OAuth: Etapa, rotación y eliminación de credenciales de OAuth para una aplicación cliente externa
Este proceso de seguridad utiliza la API de REST de Salesforce para generar, rotar y retirar de forma programática secretos de consumidor y claves de consumidor para aplicaciones cliente externas sin exponerlos en la interfaz de usuario administrativa.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Etapa, rotación y eliminación de credenciales de OAuth para una aplicación cliente externa
Configuración recomendada
Establecer, rotar y eliminar credenciales de OAuth para una aplicación cliente externa.
Descripción general de control
Este proceso de seguridad utiliza la API de REST de Salesforce para generar, rotar y retirar de forma programática secretos de consumidor y claves de consumidor para aplicaciones cliente externas sin exponerlos en la interfaz de usuario administrativa.
Riesgo de seguridad si no está configurado
La ausencia de gestión de credenciales automatizada a través de la API lleva a una mayor probabilidad de fuga de secretos en registros del sistema o archivos de configuración, dando como resultado finalmente acceso de API no autorizado a través de credenciales estáticas duraderas.
Escenarios de amenazas
Un secreto de consumidor heredado se captura inadvertidamente en un registro de desarrollador o sistema de control de versiones y se explota por un atacante para establecer una conexión persistente con el entorno porque la credencial nunca se rotó.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El fallo en la implementación de una política de rotación estructurada permite que un único secreto comprometido permanezca como un punto de entrada viable indefinidamente, lo que podría llevar a una exfiltración de datos a gran escala que permanece sin detectar por el monitoreo estándar.
Mayor riesgo cuando
Cuando las credenciales se gestionan manualmente por múltiples administradores o cuando el mismo secreto está codificado en varios entornos de servidor distribuidos y sistemas de registro de alto tráfico.
Bajo riesgo cuando
Si la compañía utiliza un servicio de gestión de claves exclusivo para consumir los secretos generados por la API y aplica intervalos muy cortos para la invalidación de credenciales automatizada.
Consideraciones de negocio e integración
La implementación de la rotación programática requiere coordinación entre la API de Salesforce y la aplicación cliente para garantizar que la transición a nuevas credenciales se produce sin provocar fallos de autenticación o tiempo de inactividad del servicio.
Remediación recomendada
Utilice la API de REST de credenciales de aplicación cliente externa para crear nuevas credenciales, actualice la aplicación cliente con los nuevos valores y luego elimine las credenciales anteriores para asegurarse de que solo el conjunto actual permanece activo.
Directrices de revisión del estado de seguridad
Security Health Review identifica la rotación programática de secretos como un estándar altamente recomendado para integraciones modernas para garantizar que los artefactos de autenticación confidenciales nunca se gestionen en texto claro o se retengan más allá de su ciclo de vida necesario.
