U bent hier:
OAuth-beleidsvormen configureren: OAuth-inloggegevens faseren, roteren en verwijderen voor een externe clientapp
Dit beveiligingsproces gebruikt de Salesforce REST-API voor het programmatisch genereren, roteren en intrekken van consumentengeheimen en consumentensleutels voor Externe clientapps zonder deze zichtbaar te maken in de beheergebruikersinterface.
Controlenaam
Externe clientapps: OAuth-beleidsvormen configureren: OAuth-inloggegevens faseren, roteren en verwijderen voor een externe clientapp
Aanbevolen configuratie
OAuth-inloggegevens faseren, roteren en verwijderen voor een externe clientapp.
Overzicht van besturingselementen
Dit beveiligingsproces gebruikt de Salesforce REST-API voor het programmatisch genereren, roteren en intrekken van consumentengeheimen en consumentensleutels voor Externe clientapps zonder deze zichtbaar te maken in de beheergebruikersinterface.
Beveiligingsrisico indien niet geconfigureerd
De afwezigheid van geautomatiseerd beheer van inloggegevens via de API leidt tot een grotere kans op geheime lekkage in systeemlogboeken of configuratiebestanden, wat uiteindelijk resulteert in ongeoorloofde API-toegang via lang bestaande, statische inloggegevens.
Dreigingsscenario's
Een verouderd consumentengeheim wordt per ongeluk vastgelegd in een ontwikkelaarslogboek of versiebeheersysteem en misbruikt door een aanvaller om een permanente verbinding met de omgeving tot stand te brengen, omdat het inloggegeven nooit is geroteerd.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als een gestructureerd roulatiebeleid niet wordt geïmplementeerd, kan één gecompromitteerd geheim voor onbepaalde tijd een levensvatbaar toegangspunt blijven, wat mogelijk leidt tot grootschalige gegevensexfiltratie die niet wordt gedetecteerd door standaardbewaking.
Hoger risico wanneer
Wanneer inloggegevens handmatig worden afgehandeld door meerdere beheerders of wanneer hetzelfde geheim hard is gecodeerd in verschillende gedistribueerde serveromgevingen en logboeksystemen met veel verkeer.
Laag risico wanneer
Als het bedrijf een speciale service voor sleutelbeheer gebruikt om de door de API gegenereerde geheimen te verbruiken en zeer korte intervallen afdwingt voor geautomatiseerde ongeldige inloggegevens.
Overwegingen bij bedrijf en integratie
Het implementeren van programmatische rotatie vereist coördinatie tussen de Salesforce-API en de clienttoepassing om ervoor te zorgen dat de overgang naar nieuwe inloggegevens plaatsvindt zonder dat servicedowntime of authenticatiefouten optreden.
Aanbevolen oplossing
Gebruik de REST-API voor inloggegevens voor de externe client om nieuwe inloggegevens te faseren, de clienttoepassing bij te werken met de nieuwe waarden en vervolgens de vorige inloggegevens te verwijderen om ervoor te zorgen dat alleen de huidige set actief blijft.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert de programmatische rotatie van geheimen als een sterk aanbevolen standaard voor moderne integraties om ervoor te zorgen dat gevoelige authenticatie-artefacten nooit in cleartext worden afgehandeld of buiten hun noodzakelijke levenscyclus worden bewaard.
