Вы находитесь здесь:
Настройка политик OAuth: Этапирование, ротация и удаление регистрационных данных OAuth для приложения внешнего клиента
Этот процесс безопасности использует Salesforce REST API для программного создания, ротации и вывода из эксплуатации секретов пользователя и ключей пользователя для приложений внешних клиентов, не открывая их в административном пользовательском интерфейсе.
Управление именем
Приложения внешних клиентов: Настройка политик OAuth: Этапирование, ротация и удаление регистрационных данных OAuth для приложения внешнего клиента
Рекомендованная конфигурация
Этапы, ротация и удаление регистрационных данных OAuth для приложения внешнего клиента.
Общие сведения о контроле
Этот процесс безопасности использует Salesforce REST API для программного создания, ротации и вывода из эксплуатации секретов пользователя и ключей пользователя для приложений внешних клиентов, не открывая их в административном пользовательском интерфейсе.
Риск безопасности, если он не настроен
Отсутствие автоматического управления регистрационными данными посредством API приводит к повышению вероятности утечки секретных данных в системных журналах или файлах конфигурации, что в конечном итоге приводит к несанкционированному доступу к API посредством долгоживущих статических регистрационных данных.
Сценарии угроз
Устаревший секрет пользователя случайно записывается в журнал разработчика или систему управления версиями и используется злоумышленником для установления постоянного подключения к среде, поскольку регистрационные данные никогда не ротировались.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Неспособность внедрить структурированную политику ротации позволяет одному скомпрометированному секрету оставаться жизнеспособной точкой входа на неопределенный срок, что потенциально может привести к широкомасштабной эксфильтрации данных, которая остается незамеченной стандартным мониторингом.
Повышенный риск при
Если регистрационные данные обрабатываются вручную несколькими администраторами или один секрет жестко запрограммирован в разных распространенных серверных средах и системах регистрации с высокой производительностью.
Низкий риск при
Если компания использует выделенную службу управления ключами для потребления секретов, созданных API, и применяет очень короткие интервалы для автоматического аннулирования регистрационных данных.
Рекомендации по бизнесу и интеграции
Внедрение программной ротации требует координации между Salesforce API и клиентским приложением, чтобы обеспечить переход на новые регистрационные данные, не приводя к простою службы или сбоям проверки подлинности.
Рекомендованное исправление
Используйте REST API регистрационных данных приложения внешнего клиента для этапирования новых регистрационных данных, обновления клиентского приложения новыми значениями и последующего удаления предыдущих регистрационных данных, чтобы убедиться, что активным остается только текущий набор.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет программную ротацию секретов в качестве настоятельно рекомендуемого стандарта для современных интеграций, чтобы убедиться, что конфиденциальные артефакты проверки подлинности никогда не обрабатываются в четком тексте и не сохраняются после их необходимого жизненного цикла.
