Vous êtes ici :
Création d'applications clientes externes avec l'API de métadonnées : Restriction de la création d'applications clientes externes en utilisant l'API de métadonnées
Ce paramètre de sécurité limite la possibilité de définir et de déployer des métadonnées d'application cliente externe via l'API de métadonnées aux développeurs et administrateurs autorisés.
Nom du contrôle
Applications clientes externes : Création d'applications clientes externes avec l'API de métadonnées : Restriction de la création d'applications clientes externes en utilisant l'API de métadonnées
Configuration recommandée
Limitez les développeurs qui peuvent créer des applications clientes externes dans la Configuration de Salesforce ou par programmation en utilisant l'API de métadonnées.
Vue d'ensemble du contrôle
Ce paramètre de sécurité limite la possibilité de définir et de déployer des métadonnées d'application cliente externe via l'API de métadonnées aux développeurs et administrateurs autorisés.
Risque de sécurité s'il n'est pas configuré
La création par programmation non contrôlée d'applications clientes externes pour développeurs entraîne l'expansion des intégrations fictives non surveillées qui contournent la gouvernance de la sécurité établie et les examens architecturaux de l'entreprise.
Scénarios de menace
Un développeur déploie par programmation une nouvelle intégration avec des étendues OAuth à privilèges élevés dans un environnement de production sans subir une évaluation de sécurité formelle, créant ainsi une porte dérobée persistante et masquée pour l'accès aux données.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Ne pas restreindre la création d'applications pilotées par les métadonnées facilite la croissance d'un écosystème d'applications non gérées, empêchant les équipes de sécurité de tenir un inventaire précis des points d'accès tiers.
Risque plus élevé quand
Lorsque de larges autorisations d'API de métadonnées sont accordées à des sous-traitants tiers ou lorsque l'organisation n'a pas de pipeline de déploiement automatisé qui applique automatiquement l'analyse de sécurité obligatoire.
Risque faible quand
Si l'organisation utilise un modèle de profil restreint qui refuse par défaut l'accès en écriture aux métadonnées et nécessite que toutes les modifications de configuration transitent par un système de contrôle de version centralisé.
Considérations relatives à l'entreprise et à l'intégration
La mise en œuvre de cette restriction garantit que toutes les nouvelles intégrations sont conformes aux normes de conformité de l'entreprise, bien qu'il puisse être nécessaire de mettre à jour les workflows des développeurs et les scripts d'intégration continue.
Remédiation recommandée
Accédez aux Autorisations système dans les profils ou ensembles d'autorisations appropriés et assurez-vous que seuls les utilisateurs autorisés disposent de l'autorisation de création ou de mise à jour des métadonnées de l'application cliente externe via l'API.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la restriction de la création d'applications par programmation comme une norme fortement recommandée pour maintenir une surveillance centralisée et empêcher la prolifération des intégrations shadow dans l'instance Salesforce.
