您在此处:
使用元数据 API 创建外部客户端应用程序:限制使用元数据 API 创建外部客户端应用程序
此安全设置仅限制授权开发人员和管理员通过元数据 API 定义和部署外部客户端应用程序元数据的能力。
控件名称
外部客户端应用程序:使用元数据 API 创建外部客户端应用程序:使用元数据 API 限制外部客户端应用程序创建
推荐配置
限制可以在 Salesforce 设置中或通过编程方式使用元数据 API 创建外部客户端应用程序的开发人员。
控制概览
此安全设置仅限制授权开发人员和管理员通过元数据 API 定义和部署外部客户端应用程序元数据的能力。
安全风险(如果未配置)
以不受控制的方式为开发人员创建外部客户端应用程序会导致不受监控的影子集成扩展,从而绕过既定的安全治理和公司架构审查。
威胁场景
开发人员以编程方式将具有高权限 OAuth 范围的新集成部署到生产环境中,而无需进行正式的安全评估,从而为数据访问创建了持久和隐藏的后门。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不限制元数据驱动的应用程序创建会助长非受管应用程序生态系统的增长,使安全团队无法保持第三方接入点的准确库存。
高风险
当向第三方承包商授予广泛的元数据 API 权限时,或者当组织缺少强制安全扫描的自动部署漏斗时。
低风险
如果组织使用受限简档模型,该模型默认拒绝元数据写入访问权限,并要求所有配置更改通过集中版本控制系统。
业务和集成注意事项
实施此限制会确保所有新集成符合公司合规标准,尽管这可能需要更新开发人员工作流和持续集成脚本。
建议的补救措施
转到相关简档或权限集中的系统权限,并确保只有授权用户才拥有通过 API 创建或更新外部客户端应用程序元数据的权限。
安全健康审查指导
安全运行状况审查将限制编程应用程序创建确定为强烈建议的标准,以维护集中监督并防止 Salesforce 实例中影子集成的扩散。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
