配置外部客户端应用程序 OAuth 设置：Oauth 范围最小权限

控件名称

外部客户端应用程序：配置外部客户端应用程序 OAuth 设置：Oauth 范围最小权限

推荐配置

OAuth 范围 - OAuth 范围定义了外部客户端应用程序的权限。

控制概览

ECA 允许高度精细的 OAuth 范围，这将控制 ECA 的权限。限制这些会最小化“爆炸半径”。

安全风险（如果未配置）

无法限制 OAuth 范围会导致访问权限过度，在这种情况下，外部应用程序被授予的权限比运行所需的权限更广泛。被盗用的应用程序不必要地获得敏感 PII 的访问权限。

威胁场景

获得Full范围令牌控制的攻击者可以绕过 UI 限制，以编程方式删除记录、导出整个客户数据库或修改系统配置。

此外，通过不安全客户端实施的“令牌泄漏”允许恶意行为者在任何 Salesforce API 中冒充用户，而不仅仅是针对外部应用程序的特定功能。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

在凭据盗窃事件期间，大规模扩展爆炸半径，可能会将轻微的局部泄露转化为公司数据的全面丢失。

高风险

默认情况下，应用程序被分配“完全访问权限”。如果应用程序配置为“所有用户可以自我授权”，允许任何员工或客户向未经审核的第三方工具授予广泛的权限。

低风险

使用将令牌限制为特定、非破坏性操作的窄范围或自定义范围。实施 OAuth 2.0 策略“管理员批准的用户是预先授权的”，通过确保只有特定的简档或权限集可以使用应用程序来进一步降低风险，而不管请求的范围如何。

业务和集成注意事项

严格定义范围需要开发人员和架构师之间的深度协调，将每个 API 调用映射到所需的权限，这可以增加初始开发时间。但是，这种前期努力防止了集成债务，即缺乏粒度迫使您授予对简单工具的过度、不受限制的访问权限，从而造成了一种难以稍后解决的长期安全责任。

建议的补救措施

查看 ECA 的 OAuth 设置，并仅选择业务功能所需的特定范围（例如，api、openid）。

安全健康审查指导

安全运行状况审查强调最低权限原则。评估应用程序要求以限制范围（例如：“完全访问权限”），这可能会将一个小漏洞转变为灾难性的数据丢失事件。