Ti trovi qui:
Configurare le impostazioni OAuth dell'app client esterna: Configurazione del token ID
Questo controllo definisce i parametri di sicurezza per i token di identità, inclusi la durata della vita, i destinatari autorizzati e gli attributi o le autorizzazioni utente specifici inclusi nel payload di dati.
Nome controllo
App client esterne: Configurare le impostazioni OAuth dell'app client esterna: Configurazione del token ID
Configurazione consigliata
Configura token ID - Durata token in minuti (2 minuti) | Pubblico token ID | Includi richieste standard | Includi autorizzazioni personalizzate | Attributi personalizzati.
Panoramica sul controllo
Questo controllo definisce i parametri di sicurezza per i token di identità, inclusi la durata della vita, i destinatari autorizzati e gli attributi o le autorizzazioni utente specifici inclusi nel payload di dati.
Rischio per la sicurezza se non configurato
Senza una durata del token limitata e un pubblico definito, un token di identità rimane valido per un periodo eccessivo e può essere riutilizzato da applicazioni di terze parti non autorizzate per accedere alle risorse protette.
Scenari di minaccia
Un aggressore intercetta un token di identità di lunga durata tramite una vulnerabilità della rete e lo utilizza per impersonare un utente legittimo in più sistemi integrati che non verificano il pubblico previsto del token.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
Il mancato vincolo degli attributi e della durata dei token consente un accesso non autorizzato persistente e l'esposizione involontaria delle autorizzazioni utente interne e dei dati dei profili personalizzati ai fornitori di servizi esterni.
Rischio maggiore quando
I token vengono utilizzati per facilitare il Single Sign-On per le applicazioni che gestiscono dati sensibili o quando i token contengono ampie autorizzazioni amministrative personalizzate.
Basso rischio quando
Se l'applicazione esterna esegue la propria convalida rigorosa della firma del token e dell'indicazione oraria di scadenza indipendentemente dalla configurazione Salesforce.
Considerazioni su Business e integrazione
L'impostazione di una durata del token molto breve (ad esempio, due minuti) richiede che l'applicazione esterna disponga di una logica robusta e automatizzata per aggiornare i dati dell'identità per evitare interruzioni delle sessioni utente.
Rimedio consigliato
Accedere alle impostazioni OAuth dell'app client esterna, impostare la durata del token su due minuti, specificare gli URL dei pubblici autorizzati e selezionare i claim e gli attributi minimi necessari.
Guida all'esame dello stato della sicurezza
Security Health Review identifica una configurazione precisa del token di identità come standard obbligatorio per garantire che i dati sull'identità dell'utente siano effimeri, destinati a destinatari specifici e limitati alla minima quantità di informazioni richieste per l'autenticazione.
