Вы находитесь здесь:
Параметры приложения внешнего клиента: Управление маскировкой секрета REST API
Этот параметр безопасности блокирует возможность запроса или извлечения конфиденциальных секретов пользователя OAuth посредством программных вызовов REST API.
Управление именем
Параметры приложения внешнего клиента: Маскировка секрета REST API
Рекомендованная конфигурация
Разрешите доступ к секретам пользователя приложения внешнего клиента посредством REST API - Off.
Общие сведения о контроле
Этот параметр безопасности блокирует возможность запроса или извлечения конфиденциальных секретов пользователя OAuth посредством программных вызовов REST API.
Риск безопасности, если он не настроен
Если этот доступ включен, любой проверенный пользователь или приложение с достаточными полномочиями API может программным способом извлечь эти ценные регистрационные данные, что может привести к потенциальному массовому раскрытию секретов проверки подлинности.
Сценарии угроз
Взломщик компрометирует учетную запись пользователя с полномочиями администратора или разработчика и запускает сценарий для сбора всех секретов пользователя посредством REST API для получения постоянного несанкционированного доступа к интегрированным системам.
Рекомендации по влиянию риска
Раскрытие этих секретов позволяет неавторизованному исполнителю пропустить стандартные протоколы входа и выдать себя за надежное внешнее приложение, что приводит к полному компрометированию данных, общедоступных между системами.
Повышенный риск при
Ваша организация использует много сторонних инструментов интеграции, имеющих широкий доступ к REST API, поскольку одна компрометированная интеграция может привести к краже всех других секретов приложения.
Низкий риск при
Если вы внедрили строгие ограничения IP-адресов для всех API-доступов и используете маркеры кратковременных сеансов, ограничивающие окно возможности для выполнения сценариев извлечения злоумышленником.
Рекомендации по бизнесу и интеграции
Отключение этого доступа предотвращает программную проверку или аудит секретов пользователя, используемых внешними приложениями, настраиваемыми административными инструментами или сценариями автоматического мониторинга.
Рекомендованное исправление
Перейдите в параметры приложений внешних клиентов в настройках и убедитесь, что переключатель для разрешения доступа к секретам пользователя посредством REST API установлен на выключение.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет ограничение секретного доступа посредством REST API в качестве обязательного архитектурного стандарта, чтобы обеспечить сохранение конфиденциальных регистрационных данных и доступ к ним только посредством безопасного пользовательского интерфейса Salesforce.
