Usted está aquí:
Identidad desatendida para el control de clientes y socios
Protege el apretón de manos de API backend para las interfaces de usuario de inicio de sesión personalizadas.
Nombre de control
Identidad desatendida para clientes y socios
Configuración recomendada
Identidad desatendida permite a los desarrolladores utilizar Salesforce como un sólido motor de identidad back-end mientras alojan las interfaces de usuario de inicio de sesión y registro en sus propios servidores externos o aplicaciones personalizadas.
Descripción general de control
Protege el apretón de manos de API backend para las interfaces de usuario de inicio de sesión personalizadas.
Riesgo de seguridad si no está configurado
Cuando no se utiliza la arquitectura desatendida para aplicaciones personalizadas, los desarrolladores a menudo recurren a métodos inseguros como "enmarcar" páginas estándar de Salesforce o utilizar redireccionamientos de navegador menos seguros que son más vulnerables al secuestro de clics y las secuencias de comandos de sitios cruzados (XSS).
Escenarios de amenazas
Un atacante explota una vulnerabilidad en un flujo de redireccionamiento de navegador heredado para interceptar códigos de autorización o cookies de sesión, un riesgo que se reduce significativamente cuando se utiliza la comunicación de servidor a servidor más segura que se encuentra en flujos "Código de autorización y verificador" desatendidos.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
Confiar en los redireccionamientos front-end tradicionales para aplicaciones personalizadas de alta escala puede llevar a una postura de seguridad fragmentada donde el "apretón de manos" de autenticación es visible y vulnerable a la manipulación del lado del cliente.
Riesgo más alto cuando
El riesgo es mayor al crear aplicaciones móviles personalizadas o aplicaciones de una sola página que requieren seguridad de alto nivel pero no pueden admitir de forma nativa la experiencia de inicio de sesión basada en web estándar de Salesforce sin degradar el contexto de seguridad del usuario.
Bajo riesgo cuando
Se utilizan plantillas de Experience Cloud estándar integradas en vez de frontales creados a medida, ya que esas plantillas ya incluyen protecciones de Salesforce integradas para redireccionamientos y gestión de sesiones.
Consideraciones comerciales y de integración
La implementación de Identidad desatendida requiere experiencia de desarrollo avanzada en flujos de OAuth 2.0 y la capacidad de crear y mantener una interfaz de usuario frontal personalizada que se comunique con Salesforce a través de las API de Identidad desatendida.
Remediación recomendada
Configure los controladores Registro desatendido y Detección de inicio de sesión en Salesforce y actualice su aplicación externa para utilizar la API de Identidad desatendida para todas las solicitudes de autenticación.
Directrices de revisión del estado de seguridad
Security Health Review identifica Identidad desatendida como un modelo de seguridad de API primero que proporciona la flexibilidad de una experiencia de usuario personalizada sin sacrificar los rigurosos estándares de seguridad back-end de la plataforma Salesforce.
