Vous êtes ici :
Configurez les paramètres OAuth de l'application cliente externe : Configuration du contrôle de jeton d'identification
Ce contrôle définit les paramètres de sécurité des jetons d'identité, notamment leur durée de vie, les destinataires autorisés et les attributs ou autorisations utilisateur spécifiques inclus dans la charge de travail de données.
Nom du contrôle
Applications clientes externes : Configurez les paramètres OAuth de l'application cliente externe : Configurer le jeton d'identification
Configuration recommandée
Configurer le jeton d'identification - Durée du jeton en minutes (2mins) | Audiences du jeton d'identification | Inclure des réclamations standard | Inclure des autorisations personnalisées | Attributs personnalisés.
Vue d'ensemble du contrôle
Ce contrôle définit les paramètres de sécurité des jetons d'identité, notamment leur durée de vie, les destinataires autorisés et les attributs ou autorisations utilisateur spécifiques inclus dans la charge de travail de données.
Risque de sécurité s'il n'est pas configuré
Sans durée de jeton restreinte et audience définie, un jeton d'identité reste valide pendant une période excessive et peut être réutilisé par des applications tierces non autorisées pour accéder à des ressources protégées.
Scénarios de menace
Un assaillant intercepte un jeton d'identité de longue durée via une vulnérabilité réseau et l'utilise pour usurper l'identité d'un utilisateur légitime à travers plusieurs systèmes intégrés qui ne vérifient pas l'audience visée par le jeton.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Ne pas limiter les attributs et la durée des jetons entraîne un accès non autorisé persistant et l'exposition involontaire des autorisations utilisateur internes et des données de profil personnalisées aux fournisseurs de services externes.
Risque plus élevé quand
Les jetons sont utilisés pour faciliter l'authentification unique pour les applications qui gèrent des données confidentielles ou lorsque les jetons contiennent de larges autorisations administratives personnalisées.
Risque faible quand
Si l'application externe effectue sa propre validation rigoureuse de la signature du jeton et de l'horodatage d'expiration, quelle que soit la configuration de Salesforce.
Considérations relatives à l'entreprise et à l'intégration
La définition d'une durée de jeton très courte (par exemple deux minutes) nécessite que l'application externe ait une logique robuste et automatisée pour actualiser les données d'identité afin d'éviter les interruptions de session utilisateur.
Remédiation recommandée
Accédez aux paramètres OAuth de votre application cliente externe, définissez la durée du jeton sur deux minutes, spécifiez les URL d'audience autorisées, puis sélectionnez les réclamations et les attributs minimum nécessaires.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la configuration précise du jeton d'identité comme une norme obligatoire pour que les données d'identité des utilisateurs soient éphémères, ciblées sur des destinataires spécifiques et limitées au minimum d'informations requises pour l'authentification.
