Sie befinden sich hier:
Verwalten von OAuth-Zugriffsrichtlinien für eine verbundene Anwendung: Vom Administrator genehmigte Benutzer sind vorab autorisierte Steuerelemente
Durch diese Einstellung wird die Zugriffsrichtlinie der Anwendung von "Alle Benutzer können sich selbst autorisieren" zu einem eingeschränkten Modell geändert, bei dem sich nur Benutzer anmelden können, denen ein bestimmtes Profil oder ein bestimmter Berechtigungssatz zugewiesen ist.
Steuerelementname
Verbundene Anwendungen: Verwalten von OAuth-Zugriffsrichtlinien für eine verbundene Anwendung: Vom Administrator genehmigte Benutzer sind vorab autorisiert
Empfohlene Konfiguration
Zulässige Benutzer: Wählen Sie "Vom Administrator genehmigte Benutzer sind vorab autorisiert" aus.
Steuerelementübersicht
Durch diese Einstellung wird die Zugriffsrichtlinie der Anwendung von "Alle Benutzer können sich selbst autorisieren" zu einem eingeschränkten Modell geändert, bei dem sich nur Benutzer anmelden können, denen ein bestimmtes Profil oder ein bestimmter Berechtigungssatz zugewiesen ist.
Sicherheitsrisiko, wenn nicht konfiguriert
Ohne Konfiguration kann jeder Benutzer in Ihrer Salesforce-Organisation einer externen Anwendung Zugriff auf seine Daten und Ihre CRM-Umgebung erteilen, ohne die Sicherheit der Anwendung administrativ überwachen oder überprüfen zu müssen.
Bedrohungsszenarien
Ein Mitarbeiter autorisiert versehentlich eine Anwendung oder eine bösartige Phishing-Site, die umfassende OAuth-Geltungsbereiche anfordert, wodurch das externe Tool Unternehmensdaten unter der Identität dieses Benutzers stillschweigend erfassen kann.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Das Zulassen der Selbstautorisierung führt zu "Ausbreitung von Anwendungen" und Datenfragmentierung, wodurch Sicherheitsteams nicht mehr verfolgen können, welche externen Anbieter aktiven "Hintertürzugriff" auf die Daten der Organisation haben.
Höheres Risiko, wenn
Benutzer verfügen über umfassende Objektberechtigungen oder "Berichte exportieren", da sie eine Anwendung versehentlich autorisieren können, große Mengen personenbezogener Daten oder proprietärer Daten zu exfiltrieren.
Geringes Risiko, wenn
Das Unternehmen hat die Systemberechtigung "Benutzerfunktion zum Installieren verbundener Anwendungen" deaktiviert und erzwingt strikt ein Freigabemodell vom Typ "Privat", das begrenzt, was jeder einzelne Benutzer sehen kann.
Überlegungen zu Unternehmen und Integration
Für die Implementierung ist ein administrativer Workflow erforderlich, um die Anwendung den richtigen Profilen oder Berechtigungssätzen zuzuweisen. Dadurch wird sichergestellt, dass nur die vorgesehenen Geschäftseinheiten die Integration verwenden können.
Empfohlene Sanierung
Bearbeiten Sie die OAuth-Richtlinien der verbundenen Anwendung. Ändern Sie das Dropdown-Menü "Zulässige Benutzer" zu "Vom Administrator genehmigte Benutzer sind vorab autorisiert" und fügen Sie dann die autorisierten Profile oder Berechtigungssätze explizit der Themenliste der Anwendung hinzu.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert "Admin Pre-authorization" (Administratorvorautorisierung) als obligatorische Gatekeeping-Steuerung für den Zugriff auf verbundene Anwendungen.
