위치:
고객 및 파트너용 헤드리스 ID
사용자 정의 로그인 UI에 대한 백엔드 API 핸드샷을 보호합니다.
제어 이름
고객 및 파트너용 헤드리스 ID
권장 구성
헤드리스 ID를 사용하면 개발자가 자체 외부 서버 또는 사용자 정의 응용 프로그램에서 로그인 및 등록 사용자 인터페이스를 호스팅하는 동안 Salesforce를 강력한 백엔드 ID 엔진으로 사용할 수 있습니다.
제어 개요
사용자 정의 로그인 UI에 대한 백엔드 API 핸드샷을 보호합니다.
구성되지 않은 경우 보안 위험
사용자 정의 앱에 헤드리스 아키텍처를 사용하지 않을 경우 개발자는 "iframing" 표준 Salesforce 페이지와 같은 안전하지 않은 방법을 사용하거나 클릭잭 및 크로스 사이트 스크립팅(XSS)에 더 취약한 안전하지 않은 브라우저 리디렉션을 사용하는 경우가 많습니다.
위협 시나리오
공격자는 레거시 브라우저 리디렉션 플로의 취약성을 활용하여 인가 코드 또는 세션 쿠키를 가로채기합니다. 헤드리스 "인가 코드 및 확인자" 플로에서 찾을 수 있는 보다 안전한 서버 간 커뮤니케이션을 사용할 경우 이러한 위험이 크게 줄어듭니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
대규모 사용자 정의 응용 프로그램에 대한 기존의 프런트 엔드 리디렉션을 사용하면 인증 "핸드셰이크"가 표시되고 클라이언트측 조작에 취약한 조각화된 보안 조치가 발생할 수 있습니다.
위험이 높은 경우
높은 수준의 보안이 필요하지만 사용자의 보안 컨텍스트를 저하하지 않고 기본적으로 표준 Salesforce 웹 기반 로그인 환경을 지원할 수 없는 사용자 정의 모바일 앱 또는 단일 페이지 응용 프로그램을 구축하는 경우 위험이 더 높습니다.
낮은 위험 시기
해당 템플릿에는 이미 리디렉션 및 세션 처리에 대한 내장 Salesforce 보호 기능이 포함되어 있으므로 사용자 정의로 구축된 프런트 엔드 대신 표준 내장형 Experience Cloud 템플릿이 사용됩니다.
비즈니스 및 통합 고려 사항
헤드리스 ID를 구현하려면 OAuth 2.0 플로에 대한 고급 개발 전문 지식과 헤드리스 ID API를 통해 Salesforce와 통신하는 사용자 정의 프런트 엔드 UI를 구축 및 유지 관리할 수 있는 기능이 필요합니다.
권장 수정
Salesforce에서 헤드리스 등록 및 로그인 검색 처리기를 구성하고 외부 응용 프로그램을 업데이트하여 모든 인증 요청에 헤드리스 ID API를 사용합니다.
보안 상태 검토 지침
보안 상태 검토는 헤드리스 ID를 Salesforce Platform의 엄격한 백엔드 보안 표준을 제외하고 사용자 정의 사용자 환경의 유연성을 제공하는 API 우선 보안 모델로 식별합니다.
