Você está aqui:
Gerenciar políticas de acesso do OAuth para um aplicativo conectado: Relaxação de IP
Esse controle determina se os tokens de acesso OAuth emitidos para um aplicativo conectado estão restritos a intervalos de IP confiáveis.
Nome do controle
Gerenciar políticas de acesso do OAuth para aplicativos conectados – Relaxação de IP
Configuração recomendada
Selecione "Impor restrições de IP".
Visão geral de controle
Esse controle determina se os tokens de acesso OAuth emitidos para um aplicativo conectado estão restritos a intervalos de IP confiáveis. A aplicação de restrições de IP adiciona uma camada de segurança baseada em rede que limita o uso de token a locais aprovados.
Risco de segurança, se não configurado
Se as restrições de IP não forem aplicadas, os tokens de OAuth poderão ser usados de qualquer local de rede. Um token comprometido pode ser reproduzido de redes não confiáveis, aumentando o risco de acesso à API e exposição de dados não autorizados.
Cenários de ameaça
Repetição de token de redes externas, abuso de tokens OAuth de longa duração, acesso não autorizado por meio de integrações comprometidas.
Intervalo de pontuação de CVSS estimado
Médio a Alto (6.0–8,5).
Considerações sobre impacto de risco
A gravidade do risco depende das permissões do Aplicativo conectado, da vida útil do token, da exposição da integração e de se a integração é voltada para a Internet ou internamente restrita.
Risco maior quando
Aplicativos conectados têm permissões amplas ou privilegiadas, os tokens são de longa duração, as integrações operam na Internet pública sem proteções adicionais.
Baixo risco quando
Esse controle pode ser considerado de baixo risco quando um ou mais controles de compensação são implementados, incluindo:
- Aplicação de certificado digital: O Aplicativo conectado requer um certificado de cliente, impedindo o uso de um token roubado sem acesso à chave privada.
- Tokens de rotação e de curta duração: Os tokens de atualização têm uma vida curta e são alternados com frequência, limitando a janela de oportunidade para uso indevido.
- Políticas de aplicativo conectado de alta garantia: A autenticação multifator (MFA) é necessária antes de emitir tokens OAuth a usuários.
- Conexão privada: O tráfego é roteado por meio de conexão privada ou link privado, evitando a exposição na Internet pública.
Considerações de negócios e integração
Os clientes devem validar os intervalos de IP de integração e coordenar com fornecedores de terceiros para evitar interrupções de serviço ao impor restrições de IP.
Remediação recomendada
Imponha restrições de IP quando possível, aplique permissões de privilégio mínimo a aplicativos conectados, implemente controles de compensação quando a imposição de IP não for possível e monitore a atividade do aplicativo conectado por meio de registro e monitoramento de segurança.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança destaca esse controle para ajudar os clientes a avaliar os riscos de acesso do OAuth no contexto, levando em conta as lacunas de configuração e os controles de compensação existentes e orientando a remediação priorizada alinhada às práticas recomendadas de segurança do Salesforce.
