Usted está aquí:
Configurar los parámetros de OAuth de la aplicación cliente externa: Configurar token de Id.
Este control define los parámetros de seguridad para tokens de identidad, incluyendo su vida útil, destinatarios autorizados y los atributos o permisos de usuario específicos incluidos en la carga de datos.
Nombre de control
Aplicaciones cliente externas: Configurar los parámetros de OAuth de la aplicación cliente externa: Configurar token de Id.
Configuración recomendada
Configurar token de Id. - Duración del token en minutos (2 minutos) | Audiencias de token de Id. | Incluir reclamaciones estándar | Incluir permisos personalizados | Atributos personalizados.
Descripción general de control
Este control define los parámetros de seguridad para tokens de identidad, incluyendo su vida útil, destinatarios autorizados y los atributos o permisos de usuario específicos incluidos en la carga de datos.
Riesgo de seguridad si no está configurado
Sin una duración de token restringida y una audiencia definida, un token de identidad permanece válido durante un periodo excesivo y puede ser reutilizado por aplicaciones externas no autorizadas para obtener acceso a recursos protegidos.
Escenarios de amenazas
Un atacante intercepta un token de identidad duradero a través de una vulnerabilidad de red y lo utiliza para suplantar a un usuario legítimo entre múltiples sistemas integrados que no verifican la audiencia prevista del token.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
No restringir los atributos y la duración del token permite un acceso no autorizado persistente y la exposición no intencionada de permisos de usuario internos y datos de perfil personalizado a proveedores de servicio externos.
Riesgo más alto cuando
Los tokens se utilizan para facilitar el inicio de sesión único para aplicaciones que gestionan datos confidenciales o cuando los tokens contienen permisos personalizados administrativos amplios.
Bajo riesgo cuando
Si la aplicación externa realiza su propia validación rigurosa de la firma del token y la marca de tiempo de caducidad independientemente de la configuración de Salesforce.
Consideraciones comerciales y de integración
Establecer una duración de token muy corta (por ejemplo, dos minutos) requiere que la aplicación externa tenga una lógica sólida y automatizada para actualizar datos de identidad para evitar interrupciones de sesión de usuario.
Remediación recomendada
Vaya a la configuración de OAuth de su aplicación cliente externa, establezca la duración del token en dos minutos, especifique las URL de audiencia autorizadas y seleccione las reclamaciones y atributos mínimos necesarios.
Directrices de revisión del estado de seguridad
Security Health Review identifica la configuración precisa del token de identidad como un estándar obligatorio para que los datos de identidad del usuario sean efímeros, estén dirigidos a destinatarios específicos y limitados a la menor cantidad de información requerida para la autenticación.
