Sie befinden sich hier:
Integrierte Anmeldesteuerung
Bei der eingebetteten Anmeldung handelt es sich um eine veraltete Funktion, mit der Sie ein Anmeldeformular direkt auf einer externen Webseite mithilfe eines kleinen JavaScript-Elements platzieren können.
Steuerelementname
Eingebettete Anmeldung
Empfohlene Konfiguration
Mit der eingebetteten Salesforce Identity-Anmeldung können Kunden Salesforce-Anmeldefunktionen in ihre eigene externe Website integrieren. Dieses Steuerelement wird nicht empfohlen.
Steuerelementübersicht
Bei der eingebetteten Anmeldung handelt es sich um eine veraltete Funktion, mit der Sie ein Anmeldeformular direkt auf einer externen Webseite mit einem kleinen JavaScript-Element und einer <iframe> Struktur platzieren können.
Sicherheitsrisiko, wenn nicht konfiguriert
Die eingebettete Anmeldung wird nicht empfohlen, da sie ein hohes Risiko von Clickjacking und Cross-Site-Scripting (XSS) mit sich bringt, da die Anmeldeoberfläche technisch gesehen auf einer externen Drittanbieter-Site und nicht in einer dedizierten sicheren Salesforce-Domäne "gehostet" wird.
Bedrohungsszenarien
Ein Angreifer kompromittiert den hostenden Webserver und schleust schädlichen Code in das eingebettete Anmeldeskript ein, um die Benutzeranmeldeinformationen zu "erschnüffeln" und zu erfassen, während sie in das Formular eingegeben werden.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Da die Authentifizierung in einem externen Frame erfolgt, verliert der Benutzer die visuelle Sicherheit der URL-Leiste mit Salesforce-Branding, sodass er kaum noch überprüfen kann, ob er mit einem legitimen Anmeldeportal interagiert.
Höheres Risiko, wenn
Wenn die Hosting-Website keine strenge Inhaltssicherheitsrichtlinie aufweist oder wenn ihr bestimmte Sicherheitskopfzeilen fehlen, die dem Browser genau mitteilen, welche Domänen autorisiert sind, das Anmeldeformular in einem Frame anzuzeigen, sodass die Site für die Entführung durch nicht autorisierte Drittanbieterseiten geöffnet ist.
Geringes Risiko, wenn
Das Szenario ist nur dann risikoärmer, wenn die externe Site vollständig verwaltet ist, hochgradig sicher ist und die restriktivsten browserbasierten Sicherheitskopfzeilen verwendet werden, um den eingebetteten Anmeldecode zu isolieren.
Überlegungen zu Unternehmen und Integration
Die Pflege der eingebetteten Anmeldung erfordert eine umfangreiche Entwicklerwartung, um sicherzustellen, dass JavaScript der Drittanbieter-Site mit den sich ständig weiterentwickelnden Sicherheitsaktualisierungen und Cookie-Handhabungsrichtlinien von Salesforce kompatibel bleibt.
Empfohlene Sanierung
Anstatt die eingebettete Anmeldung zu verwenden, sollten Organisationen zu Headless Identity für eine benutzerdefinierte Benutzeroberfläche migrieren oder standardmäßige OAuth 2.0-Umleitungs-Flows verwenden, um sicherzustellen, dass die Authentifizierung in einer gehärteten Salesforce-Domäne erfolgt.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsüberprüfung empfiehlt nicht die Verwendung der eingebetteten Anmeldung, da sie auf iframes basiert, was erhebliche Clickjacking-Risiken und häufige Sitzungsfehler aufgrund moderner Browsereinschränkungen für Drittanbieter-Cookies mit sich bringt.
