您位於此處:
設定外部用戶端應用程式 OAuth 設定:設定識別碼權杖
此控制項會定義身分權杖的安全性參數,包括其生命週期、授權的收件者,以及資料裝載中包含的特定使用者屬性或權限。
控制名稱
外部用戶端應用程式:設定外部用戶端應用程式 OAuth 設定:設定識別碼權杖
建議組態
設定識別碼權杖 - 權杖持續時間 (以分鐘為單位) (2 分鐘) | 識別碼權杖受眾 | 包含標準宣告 | 包含自訂權限 | 自訂屬性。
控制概觀
此控制項會定義身分權杖的安全性參數,包括其生命週期、授權的收件者,以及資料裝載中包含的特定使用者屬性或權限。
未設定安全性風險
若沒有受限制的權杖持續時間和受眾,則身分權杖會在過長的期間保持有效,且無法由未經授權的第三方應用程式重複使用,以存取受保護的資源。
威脅情況
攻擊者會透過網路漏洞攔截長期身分權杖,並使用其在多個未驗證權杖預期受眾的整合系統中模擬合法使用者。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
若無法限制權杖屬性和持續時間,則會允許持續未經授權的存取,以及對外部服務提供者非預期的內部使用者權限和自訂設定檔資料公開。
風險愈高時機
權杖用於針對處理敏感資料的應用程式或當權杖包含廣泛的管理自訂權限時,協助單一登入。
低度風險時機
如果外部應用程式執行自己的嚴格驗證權杖簽章和到期時間戳記,無論 Salesforce 組態為何。
業務與整合考量事項
設定非常短的權杖持續時間 (例如兩分鐘) 需要外部應用程式擁有強大且自動化的重新整理身分資料邏輯,以防止使用者工作階段中斷。
建議的補救措施
前往外部用戶端應用程式的 OAuth 設定,將權杖持續時間設定為兩分鐘,指定授權的受眾 URL,然後選取最低必要的宣告和屬性。
安全性健康檢閱指南
Security Health Review 會將精確的身分權杖組態識別為必要標準,以確保使用者身分資料是暫時的,以特定收件者為目標,並限制為驗證所需的最低資訊量。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
