Vous êtes ici :
Identité headless pour les clients et les partenaires
Sécurise la poignée de main de l'API back-end pour les interfaces utilisateur de connexion personnalisées.
Nom du contrôle
Identité headless pour les clients et les partenaires
Configuration recommandée
Headless Identity permet aux développeurs d'utiliser Salesforce comme moteur d'identité back-end robuste tout en hébergeant les interfaces utilisateur de connexion et d'inscription sur leurs propres serveurs externes ou applications personnalisées.
Vue d'ensemble du contrôle
Sécurise la poignée de main de l'API back-end pour les interfaces utilisateur de connexion personnalisées.
Risque de sécurité s'il n'est pas configuré
Lorsqu'ils n'utilisent pas l'architecture headless pour des applications personnalisées, les développeurs ont souvent recours à des méthodes non sécurisées telles que l'"iframing" de pages Salesforce standard ou l'utilisation de redirections de navigateur moins sécurisées, plus vulnérables au détournement de clics et au script inter-site (XSS).
Scénarios de menace
Un assaillant exploite une vulnérabilité dans un flux de redirection de navigateur hérité pour intercepter des codes d'autorisation ou des cookies de session, un risque considérablement réduit lors de l'utilisation de la communication serveur à serveur plus sécurisée que l'on trouve dans les flux « Code d'autorisation et Vérificateur » headless.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Le recours aux redirections frontales traditionnelles pour des applications personnalisées à grande échelle peut entraîner une fragmentation du dispositif de sécurité dans lequel la « poignée de main » d'authentification est visible et vulnérable à la manipulation côté client.
Risque plus élevé quand
Le risque est plus élevé lors de l'élaboration d'applications mobiles personnalisées ou d'applications à page unique qui nécessitent une sécurité de haut niveau, mais ne peuvent pas prendre en charge nativement l'expérience de connexion Web Salesforce standard sans dégrader le contexte de sécurité de l'utilisateur.
Risque faible quand
Des modèles Experience Cloud standard et intégrés sont utilisés au lieu de frontaux personnalisés, car ils contiennent déjà des protections Salesforce intégrées pour les redirections et le traitement des sessions.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de Headless Identity nécessite une expertise avancée en développement dans les flux OAuth 2.0 et la possibilité d'élaborer et de gérer une interface utilisateur frontale personnalisée qui communique avec Salesforce via les API Headless Identity.
Remédiation recommandée
Configurez les gestionnaires Inscription headless et Découverte de la connexion dans Salesforce, puis mettez à jour votre application externe pour utiliser l'API Identité headless pour toutes les requêtes d'authentification.
Guide d'examen sanitaire de sécurité
Security Health Review identifie Headless Identity comme un modèle de sécurité prioritaire pour l'API qui offre la flexibilité d'une expérience utilisateur personnalisée sans sacrifier les normes de sécurité back-end rigoureuses de Salesforce Platform.
