Você está aqui:
Gerenciar políticas de acesso do OAuth para um aplicativo conectado: Usuários aprovados pelo administrador são controlados pré-autorizados
Essa configuração altera a política de acesso do aplicativo de "Todos os usuários podem se autoautorizar" para um modelo restrito em que somente usuários com um perfil ou conjunto de permissões específico atribuído ao aplicativo podem fazer login.
Nome do controle
Aplicativos conectados: Gerenciar políticas de acesso do OAuth para um aplicativo conectado: Usuários aprovados pelo administrador são pré-autorizados
Configuração recomendada
Usuários permitidos – selecione "Usuários aprovados pelo administrador são pré-autorizados".
Visão geral de controle
Essa configuração altera a política de acesso do aplicativo de "Todos os usuários podem se autoautorizar" para um modelo restrito em que somente usuários com um perfil ou conjunto de permissões específico atribuído ao aplicativo podem fazer login.
Risco de segurança, se não configurado
Quando não configurado, qualquer usuário em sua organização do Salesforce pode conceder a um aplicativo externo acesso aos seus dados e ao seu ambiente de CRM sem qualquer supervisão administrativa ou verificação da segurança do aplicativo.
Cenários de ameaça
Um funcionário autoriza inadvertidamente um aplicativo ou um site de phishing mal-intencionado que solicita escopos amplos de OAuth, permitindo que a ferramenta externa colete silenciosamente dados da empresa sob a identidade desse usuário.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
Permitir a autorização automática leva à "expansão do aplicativo" e fragmentação de dados, impossibilitando que as equipes de segurança rastreiem quais fornecedores externos tenham acesso "backdoor" ativo aos dados da organização.
Risco maior quando
Os usuários têm amplas permissões de objeto ou recursos de "Exportar relatórios", pois podem autorizar inadvertidamente um aplicativo a filtrar volumes enormes de PII ou dados proprietários.
Baixo risco quando
A empresa desabilitou a permissão do sistema "Possibilidade do usuário de instalar aplicativos conectados" e impõe estritamente um modelo de compartilhamento "privado" que limita o que qualquer usuário pode ver.
Considerações de negócios e integração
Implementar isso requer um fluxo de trabalho administrativo para atribuir o aplicativo aos perfis ou conjuntos de permissões corretos, o que garante que apenas as unidades de negócios pretendidas possam usar a integração.
Remediação recomendada
Edite as políticas do OAuth do aplicativo conectado. Altere a lista suspensa Usuários permitidos para "Os usuários aprovados pelo administrador são pré-autorizados" e adicione explicitamente os Perfis ou Conjuntos de permissões autorizados à lista relacionada do aplicativo.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica "Pré-autorização do administrador" como um controle obrigatório de proteção de acesso ao aplicativo conectado.
