Ti trovi qui:
Headless Identity per clienti e partner
Protegge la stretta di mano dell'API backend per le interfacce utente di accesso personalizzate.
Nome controllo
Headless Identity per clienti e partner
Configurazione consigliata
Headless Identity consente agli sviluppatori di utilizzare Salesforce come potente motore di identità back-end ospitando le interfacce utente di accesso e registrazione sui propri server esterni o applicazioni personalizzate.
Panoramica sul controllo
Protegge la stretta di mano dell'API backend per le interfacce utente di accesso personalizzate.
Rischio per la sicurezza se non configurato
Quando non si utilizza l'architettura headless per le app personalizzate, gli sviluppatori spesso ricorrono a metodi non sicuri come l'"iframing" delle pagine Salesforce standard o l'utilizzo di reindirizzamenti del browser meno sicuri che sono più vulnerabili al clickjacking e al cross-site scripting (XSS).
Scenari di minaccia
Un aggressore sfrutta una vulnerabilità in un flusso di reindirizzamento browser legacy per intercettare codici di autorizzazione o cookie di sessione, un rischio che viene significativamente ridotto quando si utilizza la comunicazione server-a-server più sicura presente nei flussi headless "Codice di autorizzazione e Verificatore".
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Affidarsi ai reindirizzamenti front-end tradizionali per le applicazioni personalizzate su larga scala può portare a un comportamento di sicurezza frammentato in cui la stretta di mano dell'autenticazione è visibile e vulnerabile alla manipolazione lato client.
Rischio maggiore quando
Il rischio è maggiore quando si creano app mobili personalizzate o applicazioni a pagina singola che richiedono una protezione di alto livello ma non possono supportare in modo nativo l'esperienza di accesso standard basata sul Web di Salesforce senza compromettere il contesto di sicurezza dell'utente.
Basso rischio quando
Vengono utilizzati modelli Experience Cloud standard integrati anziché front-end personalizzati, poiché tali modelli includono già protezioni Salesforce incorporate per i reindirizzamenti e la gestione delle sessioni.
Considerazioni su Business e integrazione
L'implementazione di Headless Identity richiede competenze avanzate nello sviluppo dei flussi OAuth 2.0 e la capacità di creare e gestire un'interfaccia utente front-end personalizzata che comunica con Salesforce tramite le API Headless Identity.
Rimedio consigliato
Configurare gli handler Registrazione headless e individuazione dell'accesso in Salesforce e aggiornare l'applicazione esterna in modo che utilizzi l'API Headless Identity per tutte le richieste di autenticazione.
Guida all'esame dello stato della sicurezza
Security Health Review identifica Headless Identity come un modello di sicurezza API-first che offre la flessibilità di un'esperienza utente personalizzata senza sacrificare i rigorosi standard di sicurezza back-end della piattaforma Salesforce.
