Loading
Безопасность организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Управление встроенным входом

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Безопасность организации Salesforce

            Управление встроенным входом

            Встроенный вход - это устаревшая функция, позволяющая размещать форму входа напрямую на внешней веб-странице посредством небольшого кусочка JavaScript.

            Управление именем

            Встроенный вход

            Рекомендованная конфигурация

            С помощью встроенного входа Salesforce Identity клиенты могут интегрировать возможности входа Salesforce на собственный внешний веб-сайт. Данный элемент управления не рекомендуется.

            Общие сведения о контроле

            Встроенный вход - это устаревшая функция, позволяющая размещать форму входа напрямую на внешней веб-странице посредством небольшого фрагмента JavaScript и <iframe>-подобной структуры.

            Риск безопасности, если он не настроен

            Встроенный вход не рекомендуется, поскольку он создает высокий риск кликджекинга и межсайтового скриптинга (XSS), поскольку интерфейс входа технически «размещается» внутри внешнего стороннего сайта, а не на выделенном безопасном домене Salesforce.

            Сценарии угроз

            Злоумышленник компрометирует веб-сервер хостинга и внедряет вредоносный код во встроенный сценарий входа, чтобы «просмотреть» и записать регистрационные данные пользователя по мере ввода в форму.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Поскольку проверка подлинности выполняется во внешней рамке, пользователь теряет визуальную безопасность фирменной URL-панели Salesforce, что делает практически невозможным его проверку взаимодействия с законным порталом входа.

            Повышенный риск при

            Если на веб-сайте хостинга отсутствует строгая политика безопасности содержимого (CSP) или отсутствуют определенные заголовки безопасности, сообщающие обозревателю, какие именно домены уполномочены отображать форму входа в рамке, оставляя сайт открытым для перехвата неавторизованными сторонними страницами.

            Низкий риск при

            Сценарий ниже риска, только если внешний сайт полностью управляемый, высокозащищенный и использует самые строгие заголовки безопасности на основе обозревателя для изоляции встроенного кода входа.

            Рекомендации по бизнесу и интеграции

            Сохранение встроенного входа требует активного обслуживания разработчиком, чтобы убедиться, что JavaScript стороннего сайта остается совместимым с развивающимися обновлениями безопасности Salesforce и политиками обработки cookie-файлов.

            Рекомендованное исправление

            Вместо использования встроенного входа организациям следует мигрировать в Headless Identity для настраиваемого пользовательского интерфейса или использовать стандартные потоки переадресации OAuth 2.0, чтобы обеспечить выполнение проверки подлинности в закаленном домене Salesforce.

            Руководство по проверке состояния безопасности

            Обзор состояния безопасности не рекомендует использовать встроенный вход из-за его зависимости от iframes, что создает значительные риски кликджекинга и частые сбои сеанса, вызванные современными ограничениями обозревателя для сторонних cookie-файлов.

            См. также:

             
            Загрузка
            Salesforce Help | Article