Vous êtes ici :
Gestion des stratégies d'accès OAuth pour une application connectée : Les utilisateurs approuvés par l'administrateur sont pré-autorisés
Ce paramètre change la stratégie d'accès de l'application de « Tous les utilisateurs peuvent s'autoriser eux-mêmes » à un modèle restreint dans lequel seuls les utilisateurs associés à un profil ou un ensemble d'autorisations spécifique attribué à l'application peuvent se connecter.
Nom du contrôle
Applications connectées : Gestion des stratégies d'accès OAuth pour une application connectée : Les utilisateurs approuvés par l'administrateur sont pré-autorisés
Configuration recommandée
Utilisateurs autorisés : sélectionnez « Les utilisateurs approuvés par l'administrateur sont pré-autorisés ».
Vue d'ensemble du contrôle
Ce paramètre change la stratégie d'accès de l'application de « Tous les utilisateurs peuvent s'autoriser eux-mêmes » à un modèle restreint dans lequel seuls les utilisateurs associés à un profil ou un ensemble d'autorisations spécifique attribué à l'application peuvent se connecter.
Risque de sécurité s'il n'est pas configuré
Lorsqu'il n'est pas configuré, n'importe quel utilisateur de votre organisation Salesforce peut accorder à une application externe l'accès à ses données et à votre environnement CRM sans aucune surveillance administrative ni vérification de la sécurité de l'application.
Scénarios de menace
Un employé autorise par inadvertance une application ou un site d'hameçonnage malveillant qui demande de larges étendues OAuth, permettant à l'outil externe de collecter en silence les données de l'entreprise sous l'identité de cet utilisateur.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'autorisation de l'auto-autorisation entraîne un « étalement des applications » et une fragmentation des données, ce qui empêche les équipes de sécurité de déterminer quels fournisseurs externes ont un accès « détourné » actif aux données de l'organisation.
Risque plus élevé quand
Les utilisateurs disposent d'autorisations d'objet étendues ou de capacités « Exporter des rapports », car ils peuvent autoriser involontairement une application à exfiltrer des volumes massifs d'informations d'identification personnelle ou de données propriétaires.
Risque faible quand
La société a désactivé l'autorisation système « Capacité de l'utilisateur à installer des applications connectées » et applique strictement un modèle de partage « Privé » qui limite ce que tout utilisateur peut afficher.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation nécessite un workflow administratif pour attribuer l'application aux profils ou ensembles d'autorisations appropriés, ce qui garantit que seules les unités commerciales concernées peuvent utiliser l'intégration.
Remédiation recommandée
Modifiez les stratégies OAuth de l'application connectée. Changez la liste déroulante Utilisateurs autorisés en « Les utilisateurs approuvés par l'administrateur sont pré-autorisés », puis ajoutez explicitement les Profils ou les Ensembles d'autorisations autorisés à la liste associée de l'application.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la « Pré-autorisation de l'administrateur » comme contrôle obligatoire de l'accès à l'application connectée.
