Вы находитесь здесь:
Управление политиками доступа OAuth для связанного приложения: Пользователи, допущенные администратором, предварительно авторизованы
Этот параметр изменяет политику доступа приложения с «Все пользователи могут авторизовываться самостоятельно» на ограниченную модель, где могут входить только пользователи с определенным профилем или набором полномочий, назначенным приложению.
Управление именем
Связанные приложения: Управление политиками доступа OAuth для связанного приложения: Пользователи, допущенные администратором, предварительно авторизованы
Рекомендованная конфигурация
Разрешенные пользователи - выберите «Пользователи, допущенные администратором, предварительно авторизованы».
Общие сведения о контроле
Этот параметр изменяет политику доступа приложения с «Все пользователи могут авторизовываться самостоятельно» на ограниченную модель, где могут входить только пользователи с определенным профилем или набором полномочий, назначенным приложению.
Риск безопасности, если он не настроен
Если параметр не настроен, любой пользователь в организации Salesforce может предоставить внешнему приложению доступ к своим данным и среде CRM без какого-либо административного надзора или проверки безопасности приложения.
Сценарии угроз
Сотрудник случайно авторизует приложение или вредоносный фишинговый сайт, запрашивающий широкие области OAuth, что позволяет внешнему инструменту негласно собирать данные компании под личностью этого пользователя.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Разрешение самостоятельной авторизации приводит к «расползанию приложений» и фрагментации данных, что не позволяет группам безопасности отслеживать, какие внешние поставщики имеют активный «бэкдорный» доступ к данным организации.
Повышенный риск при
Пользователи имеют широкие полномочия объекта или возможности «Экспорт отчетов», поскольку они могут случайно авторизовать приложение для извлечения больших объемов персональных данных или личных данных.
Низкий риск при
Компания отключила системное полномочие «Пользовательская возможность установки связанных приложений» и строго применяет модель общего доступа «Личный», ограничивающую доступность любого отдельного пользователя.
Рекомендации по бизнесу и интеграции
Внедрение требует наличия административного бизнес-правила для назначения приложения соответствующим профилям или наборам полномочий, что обеспечивает использование интеграции только предполагаемыми бизнес-единицами.
Рекомендованное исправление
Отредактируйте политики OAuth связанного приложения. Измените раскрывающийся список «Разрешенные пользователи» на «Пользователи, допущенные администратором, предварительно авторизованы», а потом явно добавьте авторизованные профили или наборы полномочий к связанному списку приложения.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет «Предварительную авторизацию администратора» в качестве обязательного контроля шлюза для доступа к связанному приложению.
