Sie befinden sich hier:
Connect-Anwendungen verwalten: Erstellen verbundener Anwendungen zulassen – Aus
Durch diese Sicherheitseinstellung wird die Organisationsfunktion zum Definieren, Registrieren oder Bereitstellen neuer OAuth-fähiger verbundener Anwendungen auf allen Oberflächen global deaktiviert.
Steuerelementname
Verbundene Anwendungen: Verwalten verbundener Anwendungen: Erstellen verbundener Anwendungen zulassen – Aus
Empfohlene Konfiguration
Erstellen verbundener Anwendungen zulassen – Aus.
Steuerelementübersicht
Durch diese Sicherheitseinstellung wird die Organisationsfunktion zum Definieren, Registrieren oder Bereitstellen neuer OAuth-fähiger verbundener Anwendungen auf allen Oberflächen, einschließlich der Benutzeroberfläche und der Metadaten-API, global deaktiviert.
Sicherheitsrisiko, wenn nicht konfiguriert
Die uneingeschränkte Erstellung verbundener Anwendungen führt zu einer nicht autorisierten Datenfreigabe für persönliche Anwendungen, was zu einem erheblichen Datenverlust durch nicht überprüfte und nicht verwaltete Integrationsendpunkte führt.
Bedrohungsszenarien
Ein interner Akteur erstellt eine benutzerdefinierte verbundene Anwendung, um die Produktionsumgebung mit einem nicht kompatiblen Drittanbieter-Tool zu verknüpfen, wodurch sensible Kundendatensätze versehentlich mit einer unsicheren externen Datenbank synchronisiert werden.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn die Anwendungserstellung nicht eingeschränkt wird, können formale Sicherheitsüberprüfungen und architektonische Überwachungen umgangen werden, wodurch dauerhafte und nicht überwachte Datenkanäle eingerichtet werden, die für die Exfiltration ausgenutzt werden können.
Höheres Risiko, wenn
Wenn Benutzer über umfassende Berechtigungen auf Objektebene verfügen oder wenn das Unternehmen keine automatische Überwachung zur Warnung bei der Registrierung neuer OAuth-Verbraucheranmeldeinformationen hat.
Geringes Risiko, wenn
Wenn die Organisation eine strenge Zulassungsliste genehmigter Umleitungs-URIs erzwingt und der gesamte API-Datenverkehr aus bestimmten, vom Unternehmen verwalteten Netzwerkbereichen stammen muss.
Überlegungen zu Unternehmen und Integration
Durch die Aktivierung dieses globalen Blocks wird die lokale Registrierung veralteter Frameworks verhindert, was eine strategische Ausrichtung auf das Framework für externe Client-Anwendungen erfordert, um die Kompatibilität zu gewährleisten, sobald verbundene Anwendungen ihr Supportende erreichen.
Empfohlene Sanierung
Navigieren Sie unter "Setup" zu den OAuth- und OpenID Connect-Einstellungen und deaktivieren Sie das Kontrollkästchen, mit dem Benutzer verbundene Anwendungen erstellen können, um eine globale Sperre für neue Anwendungsregistrierungen zu erzwingen. Hinweis: Ab der Version Spring '26 ist diese Einstellung standardmäßig deaktiviert.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Einschränkung der Self-Service-Anwendungserstellung als dringend empfohlenen Standard, um die Verbreitung nicht verwalteter Software zu verhindern und sicherzustellen, dass alle Datenfreigabeschnittstellen einer zentralisierten Sicherheitsverwaltung unterliegen.
