Vous êtes ici :
Paramètres de l'application cliente externe : Contrôle de la protection des secrets de métadonnées
Ce paramètre de sécurité empêche la récupération ou l'exportation des secrets consommateurs confidentiels en texte brut utilisés pour l'authentification OAuth via l'API de métadonnées Salesforce.
Nom du contrôle
Paramètres de l'application cliente externe : Protection des secrets de métadonnées
Configuration recommandée
Autorisez l'accès aux secrets consommateurs de l'application cliente externe via l'API de métadonnées - désactivé.
Vue d'ensemble du contrôle
Ce paramètre de sécurité empêche la récupération ou l'exportation des secrets consommateurs confidentiels en texte brut utilisés pour l'authentification OAuth via l'API de métadonnées Salesforce.
Risque de sécurité s'il n'est pas configuré
Lorsque cet accès est activé, n'importe quel utilisateur ou processus automatisé disposant d'autorisations de lecture de métadonnées peut extraire des secrets cryptographiques dans des fichiers locaux, des systèmes de contrôle de version ou des environnements pour développeur, créant ainsi une vulnérabilité importante au vol d'identifiants.
Scénarios de menace
Un développeur engage par inadvertance un fichier de métadonnées exporté contenant un secret consommateur en texte brut dans un référentiel de code public, ce qui permet à un assaillant externe de pirater l'identité de l'application intégrée.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'exposition d'un secret consommateur permet à une partie non autorisée d'usurper l'identité d'une application de confiance, et d'obtenir un accès complet aux données et aux fonctions administratives de l'organisation Salesforce liée.
Risque plus élevé quand
Si votre entreprise utilise fréquemment des outils d'intégration continue et de déploiement tiers qui extraient automatiquement les métadonnées dans des environnements externes moins sécurisés.
Risque faible quand
Si vous avez limité les autorisations de configuration Modifier toutes les données et Afficher à un très petit groupe d'administrateurs Salesforce hautement fiables et utilisez des variables d'environnement cryptées pour toutes les intégrations externes.
Considérations relatives à l'entreprise et à l'intégration
La désactivation de cet accès signifie que les développeurs ne peuvent pas utiliser les outils de déploiement de métadonnées standard pour déplacer des secrets entre les environnements, ce qui nécessite une saisie manuelle ou une injection d'identifiants sécurisés spécialisée pendant le processus de déploiement.
Remédiation recommandée
Accédez aux paramètres Applications clientes externes dans Configuration, puis assurez-vous que le commutateur d'autorisation d'accès aux secrets consommateurs via l'API de métadonnées est désactivé.
Guide d'examen sanitaire de sécurité
Security Health Review identifie le masquage des secrets consommateurs comme une norme obligatoire pour la gestion des secrets, afin que les identifiants d'authentification confidentiels ne quittent jamais les frontières cryptées de Salesforce Platform.
