Usted está aquí:
Identidad desatendida para clientes y socios
Protege el protocolo de enlace de API de backend para interfaces de usuario de inicio de sesión personalizadas.
Nombre de control
Identidad desatendida para clientes y socios
Configuración recomendada
Identidad desatendida permite a los desarrolladores utilizar Salesforce como un sólido motor de identidad back-end mientras alojan las interfaces de usuario de inicio de sesión y registro en sus propios servidores externos o aplicaciones personalizadas.
Descripción general de control
Protege el protocolo de enlace de API de backend para interfaces de usuario de inicio de sesión personalizadas.
Riesgo de seguridad si no está configurado
Cuando no se utiliza la arquitectura desatendida para aplicaciones personalizadas, los desarrolladores a menudo recurren a métodos inseguros como el "enmarcado" de páginas estándar de Salesforce o el uso de redireccionamientos de navegador menos seguros que son más vulnerables al secuestro de clics y las secuencias de comandos de sitio cruzadas (XSS).
Escenarios de amenazas
Un atacante explota una vulnerabilidad en un flujo de redireccionamiento de navegador heredado para interceptar códigos de autorización o cookies de sesión, un riesgo que se reduce significativamente cuando se utiliza la comunicación más segura de servidor a servidor que se encuentra en flujos de "Verificador y código de autorización" desatendidos.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
Basarse en redireccionamientos de front-end tradicionales para aplicaciones personalizadas de alta escala puede llevar a una postura de seguridad fragmentada donde el "apretón de manos" de autenticación es visible y vulnerable a la manipulación del lado del cliente.
Mayor riesgo cuando
El riesgo es mayor al crear aplicaciones móviles personalizadas o aplicaciones de una sola página que requieren seguridad de alto nivel pero no pueden admitir de forma nativa la experiencia de inicio de sesión basada en web estándar de Salesforce sin degradar el contexto de seguridad del usuario.
Bajo riesgo cuando
Se utilizan plantillas estándar integradas de Experience Cloud en vez de frontales personalizados, ya que esas plantillas ya incluyen protecciones integradas de Salesforce para redireccionamientos y gestión de sesiones.
Consideraciones de negocio e integración
La implementación de Identidad desatendida requiere experiencia de desarrollo avanzada en flujos de OAuth 2.0 y la capacidad de crear y mantener una interfaz de usuario de front-end personalizada que se comunique con Salesforce a través de las API de Identidad desatendida.
Remediación recomendada
Configure los controladores Registro desatendido y Detección de inicio de sesión en Salesforce y actualice su aplicación externa para utilizar la API de identidad desatendida para todas las solicitudes de autenticación.
Directrices de revisión del estado de seguridad
Security Health Review identifica Identidad desatendida como un modelo de seguridad de API primera que proporciona la flexibilidad de una experiencia de usuario personalizada sin sacrificar los rigurosos estándares de seguridad back-end de la plataforma Salesforce.
