U bent hier:
Maken van externe clientapps met API voor metagegevens: Maken van externe clientapps beperken met behulp van de API voor metagegevens
Deze beveiligingsinstelling beperkt de mogelijkheid tot het definiëren en implementeren van metagegevens van de externe clientapp via de API voor metagegevens tot alleen geautoriseerde ontwikkelaars en beheerders.
Controlenaam
Externe clientapps: Maken van externe clientapps met API voor metagegevens: Maken van externe clientapps beperken met behulp van de API voor metagegevens
Aanbevolen configuratie
Beperk ontwikkelaars die externe clientapps kunnen maken in Set-up van Salesforce of programmatisch met behulp van de API voor metagegevens.
Overzicht van besturingselementen
Deze beveiligingsinstelling beperkt de mogelijkheid tot het definiëren en implementeren van metagegevens van de externe clientapp via de API voor metagegevens tot alleen geautoriseerde ontwikkelaars en beheerders.
Beveiligingsrisico indien niet geconfigureerd
Ongecontroleerd programmatisch maken van externe clientapps voor ontwikkelaars leidt tot uitbreiding van niet-bewaakte schaduwintegraties die gevestigde beveiligingsgovernance en beoordelingen van bedrijfsarchitectuur omzeilen.
Dreigingsscenario's
Een ontwikkelaar implementeert programmatisch een nieuwe integratie met hoogwaardige OAuth-bereiken in een productieomgeving zonder een formele beveiligingsbeoordeling te ondergaan, waardoor een aanhoudende en verborgen achterdeur voor gegevenstoegang ontstaat.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het niet beperken van het maken van metagegevensgestuurde apps vergemakkelijkt de groei van een onbeheerd ecosysteem voor toepassingen, waardoor het voor beveiligingsteams onmogelijk wordt om een nauwkeurige inventaris bij te houden van externe toegangspunten.
Hoger risico wanneer
Wanneer brede API-machtigingen voor metagegevens worden verleend aan externe contractanten of wanneer de organisatie geen geautomatiseerde implementatiepijplijn heeft die verplicht scannen van beveiliging afdwingt.
Laag risico wanneer
Als de organisatie een beperkt profielmodel gebruikt dat standaard schrijftoegang tot metagegevens weigert en vereist dat alle configuratiewijzigingen worden doorgevoerd via een gecentraliseerd versiebeheersysteem.
Overwegingen bij bedrijf en integratie
Het implementeren van deze beperking zorgt ervoor dat alle nieuwe integraties worden afgestemd op de nalevingsnormen van het bedrijf, hoewel dit mogelijk updates van ontwikkelaarswerkstromen en scripts voor continue integratie vereist.
Aanbevolen oplossing
Ga naar Systeemmachtigingen binnen de relevante profielen of machtigingensets en zorg ervoor dat alleen geautoriseerde gebruikers de machtiging hebben om metagegevens van de externe clientapp te maken of bij te werken via de API.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert de beperking van het maken van programmatische apps als een sterk aanbevolen standaard om gecentraliseerd overzicht te houden en de verspreiding van schaduwintegraties binnen het Salesforce-exemplaar te voorkomen.
