Sie befinden sich hier:
Headless-Identität für die Steuerung von Kunden und Partnern
Schützt den Backend-API-Handshake für benutzerdefinierte Anmeldebenutzeroberflächen.
Steuerelementname
Headless Identity für Kunden und Partner
Empfohlene Konfiguration
Headless Identity ermöglicht es Entwicklern, Salesforce als robustes Backend-Identitätsmodul zu verwenden und gleichzeitig die Benutzeroberflächen für die Anmeldung und Registrierung auf ihren eigenen externen Servern oder benutzerdefinierten Anwendungen zu hosten.
Steuerelementübersicht
Schützt den Backend-API-Handshake für benutzerdefinierte Anmeldebenutzeroberflächen.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn Entwickler keine Headless-Architektur für benutzerdefinierte Anwendungen verwenden, greifen sie oft zu unsicheren Methoden wie dem "Iframieren" von Salesforce-Standardseiten oder der Verwendung weniger sicherer Browserumleitungen, die anfälliger für Clickjacking und Cross-Site-Scripting (XSS) sind.
Bedrohungsszenarien
Ein Angreifer nutzt eine Schwachstelle in einem veralteten Browser-Umleitungs-Flow aus, um Autorisierungscodes oder Sitzungscookies abzufangen. Dieses Risiko wird erheblich reduziert, wenn die sicherere Kommunikation zwischen Servern in Headless-Flows vom Typ "Autorisierungscode und Überprüfung" verwendet wird.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Die Verwendung herkömmlicher Front-End-Umleitungen für benutzerdefinierte Anwendungen mit hohem Umfang kann zu einem fragmentierten Sicherheitsstatus führen, in dem der "Handshake" für die Authentifizierung sichtbar und für clientseitige Manipulationen anfällig ist.
Höheres Risiko, wenn
Das Risiko ist höher, wenn Sie benutzerdefinierte mobile Anwendungen oder Einzelseitenanwendungen erstellen, die hochwertige Sicherheit erfordern, aber die standardmäßige webbasierte Salesforce-Anmeldeerfahrung nicht nativ unterstützen können, ohne den Sicherheitskontext des Benutzers zu beeinträchtigen.
Geringes Risiko, wenn
Standardmäßige integrierte Experience Cloud-Vorlagen werden anstelle von benutzerdefinierten Front-Ends verwendet, da diese Vorlagen bereits integrierte Salesforce-Schutzmaßnahmen für Umleitungen und die Sitzungsverarbeitung enthalten.
Überlegungen zu Unternehmen und Integration
Die Implementierung von Headless Identity erfordert erweitertes Entwicklungswissen in OAuth 2.0-Flows und die Fähigkeit, eine benutzerdefinierte Front-End-Benutzeroberfläche zu erstellen und zu verwalten, die über die Headless Identity-APIs mit Salesforce kommuniziert.
Empfohlene Sanierung
Konfigurieren Sie die Headless-Registrierungs- und Anmeldeerkennungs-Handler in Salesforce und aktualisieren Sie Ihre externe Anwendung so, dass die Headless-Identitäts-API für alle Authentifizierungsanforderungen verwendet wird.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert Headless Identity als ein API-first-Sicherheitsmodell, das die Flexibilität einer benutzerdefinierten Benutzererfahrung bietet, ohne die strengen Backend-Sicherheitsstandards der Salesforce Platform zu beeinträchtigen.
