Usted está aquí:
Configurar los parámetros de OAuth de la aplicación cliente externa: Configurar el control de token de Id.
Este control define los parámetros de seguridad para tokens de identidad, incluyendo su vida útil, destinatarios autorizados y los atributos o permisos de usuario específicos incluidos en la carga de datos.
Nombre de control
Aplicaciones cliente externas: Configurar los parámetros de OAuth de la aplicación cliente externa: Configurar token de Id.
Configuración recomendada
Configurar token de Id. - Duración del token en minutos (2 minutos) | Audiencias de token de Id. | Incluir reclamaciones estándar | Incluir permisos personalizados | Atributos personalizados.
Descripción general de control
Este control define los parámetros de seguridad para tokens de identidad, incluyendo su vida útil, destinatarios autorizados y los atributos o permisos de usuario específicos incluidos en la carga de datos.
Riesgo de seguridad si no está configurado
Sin una duración de token restringida y una audiencia definida, un token de identidad sigue siendo válido durante un periodo excesivo y puede reutilizarse por aplicaciones externas no autorizadas para obtener acceso a recursos protegidos.
Escenarios de amenazas
Un atacante intercepta un token de identidad duradero a través de una vulnerabilidad de red y lo utiliza para imitar a un usuario legítimo entre múltiples sistemas integrados que no verifican la audiencia prevista del token.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
Si no restringe la duración y los atributos del token, se permite el acceso no autorizado persistente y la exposición no intencionada de permisos de usuario internos y datos de perfil personalizado a proveedores de servicio externos.
Mayor riesgo cuando
Los tokens se utilizan para facilitar el inicio de sesión único para aplicaciones que gestionan datos confidenciales o cuando los tokens contienen permisos personalizados administrativos amplios.
Bajo riesgo cuando
Si la aplicación externa realiza su propia validación rigurosa de la firma del token y la marca de tiempo de caducidad independientemente de la configuración de Salesforce.
Consideraciones de negocio e integración
Establecer una duración de token muy corta (por ejemplo, dos minutos) requiere que la aplicación externa tenga una lógica sólida y automatizada para actualizar datos de identidad para evitar interrupciones de sesión de usuario.
Remediación recomendada
Vaya a la configuración de OAuth de su aplicación cliente externa, establezca la duración del token en dos minutos, especifique las URL de audiencia autorizadas y seleccione los atributos y las reclamaciones mínimos necesarios.
Directrices de revisión del estado de seguridad
Security Health Review identifica la configuración precisa del token de identidad como un estándar obligatorio para que los datos de identidad del usuario sean efímeros, dirigidos a destinatarios específicos y limitados a la menor cantidad de información requerida para la autenticación.
