您位於此處:
設定 OAuth 原則:外部用戶端應用程式的階段、輪替和刪除 OAuth 認證
此安全性流程使用 Salesforce REST API 以程式設計的方式產生、輪替和淘汰外部用戶端應用程式的取用者密碼和取用者金鑰,而無須在管理使用者介面中公開。
控制名稱
外部用戶端應用程式:設定 OAuth 原則:外部用戶端應用程式的階段、輪替和刪除 OAuth 認證
建議組態
外部用戶端應用程式的階段、輪替和刪除 OAuth 認證。
控制概觀
此安全性流程使用 Salesforce REST API 以程式設計的方式產生、輪替和淘汰外部用戶端應用程式的取用者密碼和取用者金鑰,而無須在管理使用者介面中公開。
未設定安全性風險
由於沒有透過 API 進行自動認證管理,因此系統記錄或組態檔案中機密洩漏的可能性增加,最終會導致透過長期靜態認證進行未經授權的 API 存取。
威脅情況
舊版取用者密碼會在開發人員記錄或版本控制系統中不小心抓取,並被攻擊者利用以建立與環境的永久連線,因為該認證從未輪換過。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法實作結構化輪換原則,讓單一已入侵的密碼無限期保持為可行的進入點,進而可能導致大規模的資料外洩,標準監視無法偵測到。
風險愈高時機
當多個管理員手動處理認證時,或當同一個密碼在各種散佈式伺服器環境和高流量記錄系統之間硬式編碼時。
低度風險時機
如果公司使用專屬金鑰管理服務來取用 API 產生的機密,並強制執行非常短的間隔以自動化認證無效。
業務與整合考量事項
實作程式設計輪替需要 Salesforce API 與用戶端應用程式之間的協調,以確保轉換至新認證會發生,而不會造成服務停機或驗證失敗。
建議的補救措施
使用「外部用戶端應用程式認證 REST API」來暫存新認證、使用新值更新用戶端應用程式,然後刪除先前的認證,以確保僅目前集保持啟用。
安全性健康檢閱指南
Security Health Review 將密碼的程式設計輪換識別為現代整合強烈建議的標準,以確保不會以純文字處理或保留敏感驗證成品超過其必要的生命週期。
