Você está aqui:
Definir as configurações de OAuth do aplicativo cliente externo: Configurar token de ID
Esse controle define os parâmetros de segurança para tokens de identidade, incluindo sua duração, destinatários autorizados e os atributos ou permissões de usuário específicos incluídos na carga útil de dados.
Nome do controle
Aplicativos cliente externos: Definir as configurações de OAuth do aplicativo cliente externo: Configurar token de ID
Configuração recomendada
Configurar token de ID – Duração do token em minutos (2 minutos) | Públicos do token de ID | Incluir declarações padrão | Incluir permissões personalizadas | Atributos personalizados.
Visão geral de controle
Esse controle define os parâmetros de segurança para tokens de identidade, incluindo sua duração, destinatários autorizados e os atributos ou permissões de usuário específicos incluídos na carga útil de dados.
Risco de segurança, se não configurado
Sem uma duração de token restrita e um público definido, um token de identidade permanece válido por um período excessivo e pode ser reutilizado por aplicativos de terceiros não autorizados para obter acesso a recursos protegidos.
Cenários de ameaça
Um invasor intercepta um token de identidade de longa duração por meio de uma vulnerabilidade de rede e o usa para personificar um usuário legítimo em vários sistemas integrados que não verificam o público-alvo do token.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Não restringir os atributos e a duração do token permite o acesso não autorizado persistente e a exposição inadvertida de permissões de usuário internas e dados de perfil personalizados a provedores de serviços externos.
Risco maior quando
Os tokens são usados para facilitar o login único para aplicativos que lidam com dados confidenciais ou quando os tokens contêm amplas permissões personalizadas administrativas.
Baixo risco quando
Se o aplicativo externo realizar sua própria validação rígida da assinatura do token e do carimbo de data e hora de expiração, independentemente da configuração do Salesforce.
Considerações de negócios e integração
Definir uma duração de token muito curta (por exemplo, dois minutos) exige que o aplicativo externo tenha uma lógica robusta e automatizada para atualizar dados de identidade para evitar interrupções da sessão do usuário.
Remediação recomendada
Acesse as configurações do OAuth do seu aplicativo cliente externo, defina a duração do token como dois minutos, especifique os URLs de público autorizados e selecione as reivindicações e atributos mínimos necessários.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a configuração de token de identidade precisa como um padrão obrigatório para que os dados de identidade do usuário sejam efetivos, direcionados a destinatários específicos e limitados à menor quantidade de informações necessárias para autenticação.
