您位於此處:
外部用戶端應用程式設定:中繼資料密碼保護
此安全性設定可防止使用 OAuth 驗證的敏感純文字取用者密碼,透過 Salesforce 中繼資料 API 來獲取或匯出。
控制名稱
外部用戶端應用程式設定:中繼資料密碼保護
建議組態
允許透過中繼資料 API - 關閉存取外部用戶端應用程式取用者密碼。
控制概觀
此安全性設定可防止使用 OAuth 驗證的敏感純文字取用者密碼,透過 Salesforce 中繼資料 API 來獲取或匯出。
未設定安全性風險
啟用此存取權時,任何具有中繼資料讀取權限的使用者或自動流程都可將密碼解壓縮至本機檔案、版本控制系統或開發人員環境,進而造成認證竊取的嚴重漏洞。
威脅情況
開發人員不小心將包含純文字取用者密碼的匯出中繼資料檔案認可至公用程式碼儲存庫,讓外部攻擊者劫持整合應用程式的身分。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
取用者密碼的公開可讓未經授權者模擬受信任的應用程式,進而可能取得連結 Salesforce 組織的資料與管理功能的完整存取權。
風險愈高時機
如果您的公司經常使用協力廠商連續整合與部署工具,這些工具會自動將中繼資料提取至較不安全的外部環境。
低度風險時機
如果您已將修改所有資料和檢視設定權限限制為少數高度信任的 Salesforce 管理員,並針對所有外部整合使用加密環境變數。
業務與整合考量事項
停用此存取權表示開發人員無法使用標準中繼資料部署工具在環境之間移動機密,因此在部署流程期間需要手動輸入或專門的安全認證插入。
建議的補救措施
前往「設定」中的「外部用戶端應用程式」設定,並確定已關閉允許透過中繼資料 API 存取取取用者密碼的切換開關。
安全性健康檢閱指南
Security Health Review 將取用者密碼遮蔽識別為密碼管理的必要標準,因此敏感驗證認證永遠不會離開 Salesforce 平台的加密界限。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
