U bent hier:
Configureer de OAuth-instellingen van de externe clientapp: ID-token configureren
Dit besturingselement definieert de beveiligingsparameters voor identiteitstokens, inclusief hun levensduur, geautoriseerde ontvangers en de specifieke gebruikerskenmerken of machtigingen die zijn opgenomen in de gegevenspayload.
Controlenaam
Externe clientapps: Configureer de OAuth-instellingen van de externe clientapp: ID-token configureren
Aanbevolen configuratie
ID-token configureren - Tokenduur in minuten (2 minuten) | ID-tokendoelgroepen | Standaardclaims opnemen | Aangepaste machtigingen opnemen | Aangepaste kenmerken.
Overzicht van besturingselementen
Dit besturingselement definieert de beveiligingsparameters voor identiteitstokens, inclusief hun levensduur, geautoriseerde ontvangers en de specifieke gebruikerskenmerken of machtigingen die zijn opgenomen in de gegevenspayload.
Beveiligingsrisico indien niet geconfigureerd
Zonder een beperkte tokenduur en gedefinieerde doelgroep blijft een identiteitstoken gedurende een buitensporige periode geldig en kan het opnieuw worden gebruikt door niet-geverifieerde externe toepassingen om toegang te krijgen tot beschermde resources.
Dreigingsscenario's
Een aanvaller onderschept een lang bestaand identiteitstoken via een netwerkkwetsbaarheid en gebruikt dit om zich voor te doen als een legitieme gebruiker in meerdere geïntegreerde systemen die de beoogde doelgroep van het token niet verifiëren.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als tokenkenmerken en duur niet worden beperkt, kan dit leiden tot aanhoudende ongeoorloofde toegang en onbedoelde blootstelling van interne gebruikersmachtigingen en aangepaste profielgegevens aan externe serviceproviders.
Hoger risico wanneer
Tokens worden gebruikt om Single Sign-On te faciliteren voor toepassingen die gevoelige gegevens verwerken of wanneer de tokens brede aangepaste beheermachtigingen bevatten.
Laag risico wanneer
Als de externe toepassing zijn eigen strenge validatie van de tokenhandtekening en het vervaltijdstempel uitvoert, ongeacht de Salesforce-configuratie.
Overwegingen bij bedrijf en integratie
Het instellen van een zeer korte tokenduur (bijvoorbeeld twee minuten) vereist dat de externe toepassing een robuuste en geautomatiseerde logica heeft voor het vernieuwen van identiteitsgegevens om onderbrekingen van gebruikerssessies te voorkomen.
Aanbevolen oplossing
Ga naar de OAuth-instellingen van uw externe clientapp, stel de tokenduur in op twee minuten, geef de URL's van de geautoriseerde doelgroep op en selecteer de minimaal noodzakelijke claims en kenmerken.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert nauwkeurige configuratie van identiteitstokens als een verplichte standaard, zodat gebruikersidentiteitsgegevens kortstondig zijn, zijn gericht op specifieke ontvangers en zijn beperkt tot de minste hoeveelheid informatie die vereist is voor authenticatie.
