您位於此處:
針對連線的應用程式管理 OAuth 存取原則:管理員核准的使用者均獲得預先授權
此設定會將應用程式的存取原則從「所有使用者均可自我授權」變更為受限制的模式,只有具有指派給應用程式特定「設定檔」或「權限集」的使用者才能登入。
控制名稱
連線的應用程式:針對連線的應用程式管理 OAuth 存取原則:管理員核准的使用者均獲得預先授權
建議組態
允許的使用者 - 選取「管理員批准的使用者均獲得預先授權」。
控制概觀
此設定會將應用程式的存取原則從「所有使用者均可自我授權」變更為受限制的模式,只有具有指派給應用程式特定「設定檔」或「權限集」的使用者才能登入。
未設定安全性風險
未設定時,Salesforce 組織中的任何使用者都可以授與外部應用程式對其資料和 CRM 環境的存取權,而無須對應用程式安全性的任何管理監督或檢查。
威脅情況
員工不小心授權要求廣泛 OAuth 範圍的應用程式或惡意網路釣魚網站,允許外部工具在該使用者的身分下無聲收集公司資料。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
允許自我授權商機進行「應用程式擴展」和資料片段,讓安全性小組無法追蹤哪些外部廠商擁有對組織資料的已啟用「後端」存取權。
風險愈高時機
使用者擁有廣泛的物件權限或「匯出報告」功能,因為他們可能不小心授權應用程式篩選大量 PII 或專屬資料。
低度風險時機
該公司已停用「使用者能夠安裝連線的應用程式」系統權限,並嚴格執行限制任何單一使用者可看見內容的「私人」共用模式。
業務與整合考量事項
實作需要管理工作流程,才能將應用程式指派給正確的「設定檔」或「權限集」,這可確保只有預期的業務單位可以使用整合。
建議的補救措施
編輯連線的應用程式 OAuth 原則。將「允許的使用者」下拉式清單變更為「管理員批准的使用者均獲得預先授權」,然後明確將授權的設定檔或權限集新增至應用程式的相關清單。
安全性健康檢閱指南
「安全性健康審查」會將「管理員預先授權」識別為「連線的應用程式存取權」的強制門管控制。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
