Du är här:
Konfigurera OAuth-policyer: Fasa, rotera och ta bort OAuth-inloggningsuppgifter för en extern klientapp
Denna säkerhetsprocess använder Salesforce REST API för att programmatiskt skapa, rotera och dra tillbaka konsumenthemligheter och konsumentnycklar för externa klientappar utan att exponera dem i det administrativa användargränssnittet.
Kontrollnamn
Externa klientappar: Konfigurera OAuth-policyer: Fasa, rotera och ta bort OAuth-inloggningsuppgifter för en extern klientapp
Rekommenderad konfiguration
Fasa, rotera och ta bort OAuth-inloggningsuppgifter för en extern klientapp.
Kontrollöversikt
Denna säkerhetsprocess använder Salesforce REST API för att programmatiskt skapa, rotera och dra tillbaka konsumenthemligheter och konsumentnycklar för externa klientappar utan att exponera dem i det administrativa användargränssnittet.
Säkerhetsrisk om den inte är konfigurerad
Frånvaron av automatiserad inloggningshantering via API leder till en ökad sannolikhet för hemligt läckage i systemloggar eller konfigurationsfiler, vilket så småningom resulterar i obehörig API-åtkomst genom långlivade, statiska inloggningsuppgifter.
Hotscenarier
En äldre konsumenthemlighet samlas in oavsiktligt i en utvecklarlogg eller ett versionshanteringssystem och utnyttjas av en attackerare för att etablera en beständig anslutning till miljön eftersom inloggningsuppgifterna aldrig roterades.
Uppskattat CVSS-betygintervall
Hög (7,0-8,9).
Att tänka på vad gäller riskpåverkan
Att misslyckas med att implementera en strukturerad rotationspolicy låter en enskild komprometterad hemlighet förbli en livskraftig ingång på obestämd tid, vilket potentiellt kan leda till storskalig dataexfiltrering som inte upptäcks av standardövervakning.
Högre risk när
När inloggningsuppgifter hanteras manuellt av flera administratörer eller när samma hemlighet är hårdkodad över olika distribuerade servermiljöer och loggningssystem med hög trafik.
Låg risk när
Om företaget använder en dedikerad nyckelhanteringstjänst för att konsumera de API-skapade hemligheterna och tillämpar mycket korta intervaller för automatiserad ogiltighet av inloggningsuppgifter.
Att tänka på vad gäller affärer och integration
Att implementera programmatisk rotation kräver samordning mellan Salesforce API och klientprogrammet för att säkerställa att övergången till nya inloggningsuppgifter sker utan att orsaka servicenedtid eller autentiseringsfel.
Rekommenderad åtgärd
Använd REST API för externa klientappar för att fasa nya inloggningsuppgifter, uppdatera klientprogrammet med de nya värdena och ta sedan bort de tidigare inloggningsuppgifterna för att se till att endast den aktuella uppsättningen förblir aktiv.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning identifierar programmatisk rotation av hemligheter som en starkt rekommenderad standard för moderna integreringar för att säkerställa att känsliga autentiseringsartefakter aldrig hanteras i klartext eller behålls utöver sin nödvändiga livscykel.
