Usted está aquí:
Gestionar políticas de acceso de OAuth para una aplicación conectada: Los usuarios aprobados por el administrador tienen control autorizado previamente
Esta configuración cambia la política de acceso de la aplicación de "Todos los usuarios pueden autorizarse" a un modelo restringido donde solo los usuarios con un perfil o conjunto de permisos específico asignado a la aplicación pueden iniciar sesión.
Nombre de control
Aplicaciones conectadas: Gestionar políticas de acceso de OAuth para una aplicación conectada: Los usuarios aprobados por el administrador se han autorizado previamente
Configuración recomendada
Usuarios permitidos: seleccione "Los usuarios aprobados por el administrador están autorizados previamente".
Descripción general de control
Esta configuración cambia la política de acceso de la aplicación de "Todos los usuarios pueden autorizarse" a un modelo restringido donde solo los usuarios con un perfil o conjunto de permisos específico asignado a la aplicación pueden iniciar sesión.
Riesgo de seguridad si no está configurado
Cuando no está configurado, cualquier usuario en su organización de Salesforce puede otorgar a una aplicación externa acceso a sus datos y su entorno de CRM sin ninguna supervisión administrativa o investigación de la seguridad de la aplicación.
Escenarios de amenazas
Un empleado autoriza inadvertidamente una aplicación o un sitio de phishing malicioso que solicita amplios ámbitos de OAuth, permitiendo a la herramienta externa recopilar datos de la compañía de forma silenciosa bajo la identidad de ese usuario.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
Permitir la autorización propia lleva a la "expansión de la aplicación" y la fragmentación de los datos, lo que hace imposible que los equipos de seguridad puedan realizar un seguimiento de qué proveedores externos tienen acceso de "puerta trasera" activo a los datos de la organización.
Mayor riesgo cuando
Los usuarios tienen permisos de objeto amplios o funciones de "Exportar reportes", ya que pueden autorizar inadvertidamente a una aplicación a exfiltrar volúmenes masivos de datos de propiedad o PII.
Bajo riesgo cuando
La compañía desactivó el permiso del sistema "Capacidad de usuario para instalar aplicaciones conectadas" y aplica estrictamente un modelo de colaboración "Privada" que limita lo que cualquier usuario puede ver.
Consideraciones de negocio e integración
La implementación de esto requiere un flujo de trabajo administrativo para asignar la aplicación a los perfiles o conjuntos de permisos correctos, lo que garantiza que solo las unidades de negocio previstas puedan utilizar la integración.
Remediación recomendada
Modifique las políticas de OAuth de la aplicación conectada. Cambie el menú desplegable Usuarios permitidos a "Los usuarios aprobados por el administrador están autorizados previamente" y luego agregue explícitamente los Perfiles o Conjuntos de permisos autorizados a la lista relacionada de la aplicación.
Directrices de revisión del estado de seguridad
Security Health Review identifica "Admin Pre-authorization" como un control de mantenimiento obligatorio para Acceso a aplicaciones conectadas.
