breadcrumbDescription
Integreret login
Integreret login er en forældet funktion, der giver dig mulighed for at placere en loginformular direkte på en ekstern webside ved brug af et lille stykke JavaScript.
Kontrolnavn
Integreret login
Anbefalet konfiguration
Med Salesforce Identity - Integreret login kan kunder integrere Salesforce-loginfunktioner på deres eget eksterne website. Denne kontrol anbefales ikke.
Kontroller oversigt
Integreret login er en forældet funktion, der giver dig mulighed for at placere en loginformular direkte på en ekstern webside ved hjælp af et lille stykke JavaScript og en <iframe>-lignende struktur.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Integreret login anbefales ikke, da det skaber en høj risiko for clickjacking og cross-site scripting (XSS), da logingrænsefladen teknisk set "værts" på en ekstern tredjepartslokalitet snarere end på et dedikeret, sikkert Salesforce-domæne.
Trusselscenarier
En angriber kompromitterer hostwebserveren og injicerer ondsindet kode i det integrerede loginscript for at "sniffe" og registrere brugerlegitimationsoplysninger, når de indtastes i formularen.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Da godkendelsen forekommer i en ekstern ramme, mister brugeren den visuelle sikkerhed på den Salesforce-brandet URL-linje, hvilket gør det næsten umuligt for dem at bekræfte, at de interagerer med en legitim loginportal.
Højere risiko når
Hvis hostwebsitet ikke har en streng indholdssikkerhedspolitik (CSP), eller hvis det mangler specifikke sikkerhedssidehoveder, der fortæller browseren nøjagtigt, hvilke domæner der er godkendt til at vise loginformularen i en ramme, efterlader lokaliteten åben for overtagelse af uautoriserede tredjepartssider.
Lav risiko når
Scenariet er kun lavere risiko, når den eksterne lokalitet er fuldt administreret, meget sikker og bruger de mest restriktive browserbaserede sikkerhedssidehoveder til at isolere den integrerede loginkode.
Overvejelser i forbindelse med forretning og integration
Vedligeholdelse af Integreret login kræver omfattende udviklervedligeholdelse for at sikre, at tredjepartslokalitetens JavaScript forbliver kompatibel med Salesforces udvikling af sikkerhedsopdateringer og cookies-håndteringspolitikker.
Anbefalet rettelse
I stedet for at bruge Integreret login, skal organisationer migrere til Headless Identity for en tilpasset brugergrænseflade eller bruge OAuth 2.0-standardomdirigeringsforløb for at sikre, at godkendelse sker på et hærdet Salesforce-domæne.
Vejledning til sikkerhedstilstandsgennemgang
Security Health Review anbefaler ikke brug af Integreret login på grund af dets afhængighed af iframes, hvilket introducerer betydelige clickjacking-risici og hyppige sessionsfejl forårsaget af moderne browserbegrænsninger på tredjepartscookies.
