Vous êtes ici :
Gestion des autres paramètres d'accès pour une application connectée : Gérer le contrôle des ensembles d'autorisations
Ce paramètre de sécurité permet aux administrateurs Salesforce de limiter l'accès des applications à des utilisateurs spécifiques en mappant des ensembles d'autorisations ciblés avec l'application connectée.
Nom du contrôle
Applications connectées : Gestion des autres paramètres d'accès pour une application connectée : Gérer les ensembles d'autorisations
Configuration recommandée
Gérez les ensembles d'autorisations.
Vue d'ensemble du contrôle
Ce paramètre de sécurité permet aux administrateurs Salesforce de limiter l'accès à l'application à des utilisateurs spécifiques en mappant des ensembles d'autorisations ciblés avec l'application connectée, en s'assurant que seuls les utilisateurs auxquels l'attribution explicite est attribuée peuvent s'authentifier.
Risque de sécurité s'il n'est pas configuré
Les octrois excessifs d'ensembles d'autorisations pour les applications connectées entraînent une vulnérabilité dans laquelle les outils intégrés exfiltrent des données bien au-delà de leurs besoins métiers en opérant dans le contexte de sessions utilisateur sur-privilégiées.
Scénarios de menace
Un administrateur attribue par inadvertance un vaste ensemble d'autorisations fourre-tout à un outil Data Loader, ce qui accorde à l'intégration l'accès et modifie les enregistrements confidentiels de rémunération des dirigeants qui auraient dû rester réservés à une petite sélection d'utilisateurs des RH.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'incapacité d'implémenter le portage basé sur l'ensemble d'autorisations facilite les mouvements latéraux de données non autorisés entre les plates-formes intégrées et augmente considérablement la surface d'attaque potentielle lors d'une violation des identifiants utilisateur.
Risque plus élevé quand
Lorsque l'application est configurée avec l'étendue d'accès complet ou lorsque l'ensemble d'autorisations attribué inclut des capacités de modification de toutes les données au niveau système.
Risque faible quand
Si l'organisation utilise des ensembles d'autorisations spécifiques à une tâche qui respectent le principe du moindre privilège, accordez à l'application connectée uniquement les autorisations minimales au niveau de l'objet requises pour son fonctionnement.
Considérations relatives à l'entreprise et à l'intégration
L'utilisation d'ensembles d'autorisations est la norme sécurisée pour accorder un accès granulaire au niveau individuel aux applications, alors que les profils sont plus adaptés aux déploiements d'applications larges basés sur le rôle dans des services entiers.
Remédiation recommandée
Accédez à la page Gérer les applications connectées, sélectionnez l'application spécifique, cliquez sur Gérer les ensembles d'autorisations, puis sélectionnez uniquement les ensembles spécifiques requis pour autoriser le groupe d'utilisateurs voulu.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation d'ensembles d'autorisations pour l'autorisation d'application comme une norme fortement recommandée afin d'appliquer la sécurité centrée sur l'identité et d'empêcher le provisionnement excessif de l'accès aux données dans les intégrations externes.
