Loading
Uw Salesforce-organisatie beveiligen
Inhoudsopgave
Filteren op (0)Toevoegen
Filters selecteren

          Geen resultaten
          Geen resultaten
          Hier zijn enkele zoektips

          Controleer de spelling van uw trefwoorden.
          Gebruik meer algemene zoektermen.
          Verwijder filters om uw zoekopdracht uit te breiden.

            De Help van Salesforce volledig doorzoeken
            De Help van Salesforce volledig doorzoeken
            Controle over ingebed inloggen

            U bent hier:

            1. Help van Salesforce
            2. Documenten
            3. Uw Salesforce-organisatie beveiligen

            Controle over ingebed inloggen

            Ingebed inloggen is een verouderde voorziening waarmee u een inlogformulier rechtstreeks op een externe webpagina kunt plaatsen met behulp van een klein stukje JavaScript.

            Controlenaam

            Ingebed inloggen

            Aanbevolen configuratie

            Met Salesforce Identity Ingebed inloggen kunnen klanten Salesforce-inlogmogelijkheden integreren in hun eigen externe website. Deze controle wordt niet aanbevolen.

            Overzicht van besturingselementen

            Ingebed inloggen is een verouderde voorziening waarmee u een inlogformulier rechtstreeks op een externe webpagina kunt plaatsen met behulp van een klein stukje JavaScript en een <iframe> structuur.

            Beveiligingsrisico indien niet geconfigureerd

            Ingebed inloggen wordt niet aanbevolen, omdat dit een hoog risico op klikkapingen en cross-site scripting (XSS) met zich meebrengt, aangezien de inloginterface technisch gezien wordt "gehost" binnen een externe, externe site in plaats van op een speciaal, beveiligd Salesforce-domein.

            Dreigingsscenario's

            Een aanvaller compromitteert de hostingwebserver en injecteert kwaadaardige code in het ingebedde inlogscript om gebruikersgegevens te "snuffelen" en vast te leggen terwijl ze in het formulier worden getypt.

            Geschatte CVSS-scorebereik

            Kritiek (9,0–10,0).

            Overwegingen bij risico-impact

            Omdat de authenticatie plaatsvindt binnen een extern frame, verliest de gebruiker de visuele beveiliging van de URL-balk van het Salesforce-merk, waardoor het voor de gebruiker bijna onmogelijk is om te verifiëren dat deze een legitieme inlogportal gebruikt.

            Hoger risico wanneer

            Als de hostingwebsite geen strikt Content Security Policy (CSP) heeft of als er geen specifieke beveiligingsheaders zijn die de browser exact vertellen welke domeinen gemachtigd zijn om het inlogformulier in een frame te tonen, waardoor de site openstaat voor kaping door ongeoorloofde externe pagina's.

            Laag risico wanneer

            Het scenario is alleen een lager risico wanneer de externe site volledig wordt beheerd, zeer veilig is en de meest beperkende op browser gebaseerde beveiligingsheaders gebruikt om de ingebedde inlogcode te isoleren.

            Overwegingen bij bedrijf en integratie

            Het onderhouden van Ingebed inloggen vereist veel ontwikkelaarsonderhoud om ervoor te zorgen dat het JavaScript van de externe site compatibel blijft met de zich ontwikkelende beveiligingsupdates en het beleid voor cookieverwerking van Salesforce.

            Aanbevolen oplossing

            In plaats van Ingebed inloggen te gebruiken, moeten organisaties migreren naar Headless Identity voor een aangepaste UI of standaard OAuth 2.0-omleidingsstromen gebruiken om ervoor te zorgen dat authenticatie plaatsvindt op een verhard Salesforce-domein.

            Begeleiding bij beoordeling van beveiligingstoestand

            Security Health Review raadt het gebruik van Ingebed inloggen niet aan vanwege het vertrouwen in iframes, wat aanzienlijke risico's op klikkapingen en frequente sessiefouten veroorzaakt door moderne browserbeperkingen voor externe cookies met zich meebrengt.

            Zie ook:

             
            Wordt geladen
            Salesforce Help | Article