Usted está aquí:
Gestionar políticas de acceso de OAuth para una aplicación conectada: Los usuarios aprobados por el administrador tienen un control autorizado previamente
Esta configuración cambia la política de acceso de la aplicación de "Todos los usuarios pueden autorizarse" a un modelo restringido donde solo los usuarios con un perfil o conjunto de permisos específico asignado a la aplicación pueden iniciar sesión.
Nombre de control
Aplicaciones conectadas: Gestionar políticas de acceso de OAuth para una aplicación conectada: Los usuarios aprobados por el administrador se han autorizado previamente
Configuración recomendada
Usuarios permitidos - Seleccione "Los usuarios aprobados por el administrador se han autorizado previamente".
Descripción general de control
Esta configuración cambia la política de acceso de la aplicación de "Todos los usuarios pueden autorizarse" a un modelo restringido donde solo los usuarios con un perfil o conjunto de permisos específico asignado a la aplicación pueden iniciar sesión.
Riesgo de seguridad si no está configurado
Cuando no está configurado, cualquier usuario en su organización de Salesforce puede otorgar a una aplicación externa acceso a sus datos y su entorno de CRM sin supervisión administrativa o investigación de la seguridad de la aplicación.
Escenarios de amenazas
Un empleado autoriza inadvertidamente una aplicación o un sitio de phishing malicioso que solicita amplios ámbitos de OAuth, permitiendo a la herramienta externa recopilar datos de la empresa de forma silenciosa bajo la identidad de ese usuario.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
Permitir la autorización propia lleva a la "expansión de la aplicación" y la fragmentación de los datos, lo que hace imposible para los equipos de seguridad realizar un seguimiento de qué proveedores externos tienen acceso de "puerta trasera" activo a los datos de la organización.
Riesgo más alto cuando
Los usuarios tienen amplios permisos de objeto o funciones de "Exportar informes", ya que pueden autorizar inadvertidamente a una aplicación a exfiltrar volúmenes masivos de datos de propiedad o PII.
Bajo riesgo cuando
La empresa ha desactivado el permiso del sistema "Capacidad de usuario para instalar aplicaciones conectadas" y aplica estrictamente un modelo de colaboración "Privado" que limita lo que cualquier usuario puede ver.
Consideraciones comerciales y de integración
La implementación de esto requiere un flujo de trabajo administrativo para asignar la aplicación a los perfiles o conjuntos de permisos correctos, lo que garantiza que solo las unidades comerciales previstas puedan utilizar la integración.
Remediación recomendada
Modifique las políticas de OAuth de la aplicación conectada. Cambie el menú desplegable Usuarios permitidos a "Los usuarios aprobados por el administrador están previamente autorizados" y luego agregue explícitamente los Perfiles o conjuntos de permisos autorizados a la lista relacionada de la aplicación.
Directrices de revisión del estado de seguridad
Security Health Review identifica la "autorización previa del administrador" como un control de mantenimiento obligatorio para el acceso a la aplicación conectada.
