breadcrumbDescription
Konfigurer OAuth-indstillinger for ekstern klientapp: Konfigurer id-tokenkontrol
Denne kontrol definerer sikkerhedsparametre for identitetstokener, herunder deres levetid, godkendte modtagere og de specifikke brugerattributter eller tilladelser, der er inkluderet i dataene.
Kontrolnavn
Eksterne klientapps: Konfigurer OAuth-indstillinger for ekstern klientapp: Konfigurer id-token
Anbefalet konfiguration
Konfigurer id-token - tokenvarighed i minutter (2 min.) | Id-tokenmålgrupper | Inkluder standardkrav | Inkluder tilpassede tilladelser | Tilpassede attributter.
Kontroller oversigt
Denne kontrol definerer sikkerhedsparametre for identitetstokener, herunder deres levetid, godkendte modtagere og de specifikke brugerattributter eller tilladelser, der er inkluderet i dataene.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Uden en begrænset tokenvarighed og defineret målgruppe forbliver et identitetstoken gyldigt i en overdreven periode og kan genbruges af uautoriserede tredjepartsapplikationer for at få adgang til beskyttede ressourcer.
Trusselscenarier
En angriber opfanger et identitetstoken med lang levetid gennem en netværkssårbarhed og bruger det til at udgive sig som en legitim bruger på tværs af flere integrerede systemer, der ikke bekræfter tokenens tiltænkte målgruppe.
Estimeret CVSS-scoringsinterval
Høj (7,0-8,9).
Overvejelser i forbindelse med risikopåvirkning
Hvis du ikke begrænser tokenattributter og varighed, tillades vedvarende uautoriseret adgang og utilsigtet visning af interne brugertilladelser og tilpassede profildata til eksterne serviceudbydere.
Højere risiko når
Tokener bruges til at gøre Single Sign-On nemmere for applikationer, der håndterer følsomme data, eller når tokenerne indeholder brede administrative tilpassede tilladelser.
Lav risiko når
Hvis den eksterne applikation udfører sin egen strenge validering af tokensignaturen og udløbstidsstemplet, uanset Salesforce-konfigurationen.
Overvejelser i forbindelse med forretning og integration
Indstilling af en meget kort tokenvarighed (f.eks. to minutter) kræver, at den eksterne applikation har en robust og automatiseret logik til opdatering af identitetsdata for at forhindre afbrydelser af brugersession.
Anbefalet rettelse
Gå til OAuth-indstillingerne for din eksterne klientapp, indstil tokenvarigheden til to minutter, angiv de godkendte målgruppers URL'er, og vælg de mindste nødvendige krav og attributter.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer præcis identitetstokenkonfiguration som en obligatorisk standard for, at brugeridentitetsdata er midlertidige, målrettede mod specifikke modtagere og begrænset til den mindste mængde oplysninger, der kræves til godkendelse.
