위치:
외부 클라이언트 앱 OAuth 설정 구성: ID 토큰 제어 구성
이 제어는 수명, 승인받은 수신자, 데이터 페이로드에 포함된 특정 사용자 특성 또는 권한을 포함하여 ID 토큰에 대한 보안 매개 변수를 정의합니다.
제어 이름
외부 클라이언트 앱: 외부 클라이언트 앱 OAuth 설정 구성: ID 토큰 구성
권장 구성
ID 토큰 구성 - 토큰 기간(분)(2분) | ID 토큰 대상 그룹 | 표준 클레임 포함 | 사용자 정의 권한 포함 | 사용자 정의 특성.
제어 개요
이 제어는 수명, 승인받은 수신자, 데이터 페이로드에 포함된 특정 사용자 특성 또는 권한을 포함하여 ID 토큰에 대한 보안 매개 변수를 정의합니다.
구성되지 않은 경우 보안 위험
토큰 기간이 제한되지 않고 정의된 대상 그룹이 없으면 ID 토큰은 과도한 기간 동안 유효하게 유지되며 무단 타사 응용 프로그램에서 보호된 리소스에 대한 액세스를 얻기 위해 재사용할 수 있습니다.
위협 시나리오
공격자는 네트워크 취약성을 통해 장기적인 ID 토큰을 가로채고 토큰의 의도한 대상 그룹을 확인하지 않는 여러 통합 시스템 전반에서 합법적인 사용자를 가리킵니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
토큰 특성 및 기간 제약에 실패하면 지속적인 무단 액세스 및 외부 서비스 공급자에게 의도하지 않은 내부 사용자 권한 및 사용자 정의 프로필 데이터 노출이 가능합니다.
고위험 시점
토큰은 민감한 데이터를 처리하거나 토큰에 광범위한 관리 사용자 정의 권한이 포함된 응용 프로그램에 대해 싱글사인온을 수행하는 데 사용됩니다.
낮은 위험 시기
외부 응용 프로그램이 Salesforce 구성에 관계없이 토큰 서명 및 만료 타임스탬프에 대한 자체 엄격한 유효성 검사를 수행하는 경우
비즈니스 및 통합 고려 사항
매우 짧은 토큰 기간(예: 2분)을 설정하려면 외부 응용 프로그램에 강력하고 자동화된 논리가 있어야만 사용자 세션이 중단되지 않도록 ID 데이터를 새로 고칠 수 있습니다.
권장 수정
외부 클라이언트 앱의 OAuth 설정으로 이동하여 토큰 기간을 2분으로 설정하고, 승인된 대상 URL을 지정한 다음, 필요한 최소 클레임 및 특성을 선택합니다.
보안 상태 검토 지침
보안 상태 검토는 정확한 ID 토큰 구성을 필수 표준으로 식별하여 사용자 ID 데이터가 간단하고 특정 수신자를 대상으로 지정하며 인증에 필요한 최소한의 정보로 제한합니다.
