위치:
연결된 앱의 OAuth 액세스 정책 관리: 관리자 승인 사용자의 사전 승인
이 설정을 통해 앱의 액세스 정책이 "모든 사용자가 자체 승인할 수 있음"에서 앱에 할당된 특정 프로필 또는 권한 집합이 있는 사용자만 로그인할 수 있는 제한된 모델로 변경됩니다.
제어 이름
연결된 앱: 연결된 앱의 OAuth 액세스 정책 관리: 관리자 승인 사용자가 미리 인가됨
권장 구성
허용된 사용자 - "관리자 승인 사용자가 미리 승인됨"을 선택합니다.
제어 개요
이 설정을 통해 앱의 액세스 정책이 "모든 사용자가 자체 승인할 수 있음"에서 앱에 할당된 특정 프로필 또는 권한 집합이 있는 사용자만 로그인할 수 있는 제한된 모델로 변경됩니다.
구성되지 않은 경우 보안 위험
구성되지 않은 경우 Salesforce 조직의 모든 사용자가 앱의 보안에 대한 관리 감독이나 심사 없이 데이터 및 CRM 환경에 대한 외부 응용 프로그램 액세스 권한을 부여할 수 있습니다.
위협 시나리오
직원이 실수로 광범위한 OAuth 범위를 요청하는 앱 또는 악성 피싱 사이트에 권한을 부여하여 외부 도구가 해당 사용자의 ID 아래에 회사 데이터를 자동으로 수집할 수 있습니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
자체 인가를 허용하면 "앱 확산" 및 데이터 조각화로 이어지므로 보안 팀이 조직의 데이터에 대한 활성 "백도어" 액세스 권한이 있는 외부 공급업체를 추적할 수 없습니다.
고위험 시점
사용자는 실수로 앱을 권한 부여하여 대량의 PII 또는 독점 데이터를 추출할 수 있으므로 광범위한 개체 권한 또는 "보고서 내보내기" 기능을 보유하고 있습니다.
낮은 위험 시기
회사는 "연결된 앱을 설치하는 사용자 능력" 시스템 권한을 비활성화하고 단일 사용자가 볼 수 있는 내용을 제한하는 "비공개" 공유 모델을 엄격하게 적용합니다.
비즈니스 및 통합 고려 사항
이를 구현하려면 관리 워크플로를 통해 앱을 올바른 프로필 또는 권한 집합에 할당해야 하므로 의도한 사업부만 통합을 사용할 수 있습니다.
권장 수정
연결된 앱 OAuth 정책을 편집합니다. 허용된 사용자 드롭다운을 "관리자 승인 사용자가 미리 승인됨"으로 변경한 다음, 앱의 관련 목록에 명시적으로 승인된 프로필 또는 권한 집합을 추가합니다.
보안 상태 검토 지침
보안 상태 검토에서 "관리자 사전 인가"를 연결된 앱 액세스에 대한 필수 게이트키 제어로 식별합니다.
