Ti trovi qui:
Gestione delle policy di accesso OAuth per un'applicazione connessa: Gli utenti approvati dall'amministratore sono pre-autorizzati
Questa impostazione modifica la policy di accesso dell'app da "Tutti gli utenti possono autorizzarsi da soli" a un modello limitato in cui solo gli utenti con un profilo o un insieme di autorizzazioni specifico assegnato all'app possono accedere.
Nome controllo
Applicazioni connesse: Gestione delle policy di accesso OAuth per un'applicazione connessa: Gli utenti approvati dall'amministratore sono pre-autorizzati
Configurazione consigliata
Utenti con autorizzazioni: selezionare "Gli utenti approvati dall'amministratore sono pre-autorizzati".
Panoramica sul controllo
Questa impostazione modifica la policy di accesso dell'app da "Tutti gli utenti possono autorizzarsi da soli" a un modello limitato in cui solo gli utenti con un profilo o un insieme di autorizzazioni specifico assegnato all'app possono accedere.
Rischio per la sicurezza se non configurato
Quando non è configurato, qualsiasi utente dell'organizzazione Salesforce può concedere a un'applicazione esterna l'accesso ai propri dati e all'ambiente CRM senza alcuna supervisione amministrativa o controllo della sicurezza dell'app.
Scenari di minaccia
Un dipendente autorizza inavvertitamente un'app o un sito di phishing dannoso che richiede ambiti OAuth ampi, consentendo allo strumento esterno di raccogliere silenziosamente i dati aziendali sotto l'identità di quell'utente.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Consentire l'auto-autorizzazione porta all'espansione delle app e alla frammentazione dei dati, rendendo impossibile per i team di sicurezza tenere traccia dei fornitori esterni che hanno accesso "backdoor" attivo ai dati dell'organizzazione.
Rischio maggiore quando
Gli utenti dispongono di ampie autorizzazioni oggetto o di funzionalità di esportazione dei rapporti, poiché possono autorizzare inavvertitamente un'app a esfiltrare volumi elevati di informazioni personali o dati proprietari.
Basso rischio quando
L'azienda ha disabilitato l'autorizzazione di sistema "Possibilità degli utenti di installare applicazioni connesse" e applica rigorosamente un modello di condivisione "Privato" che limita ciò che può essere visualizzato da un singolo utente.
Considerazioni su Business e integrazione
L'implementazione richiede un flusso di lavoro amministrativo per assegnare l'app ai Profili o agli Insiemi di autorizzazioni corretti, in modo che solo le unità operative previste possano utilizzare l'integrazione.
Rimedio consigliato
Modificare le policy OAuth dell'applicazione connessa. Modificare l'elenco a discesa Utenti con autorizzazioni in "Gli utenti approvati dall'amministratore sono pre-autorizzati" e quindi aggiungere esplicitamente i Profili o gli Insiemi di autorizzazioni autorizzati all'elenco correlato dell'app.
Guida all'esame dello stato della sicurezza
Security Health Review identifica la "Pre-autorizzazione amministratore" come controllo di gatekeeping obbligatorio per l'accesso alle applicazioni connesse.
