您在此处:
管理连接的应用程序的其他访问权限设置:管理权限集
此安全设置使 Salesforce 管理员能够通过将目标权限集映射到连接的应用程序来限制特定用户的应用程序访问权限。
控件名称
连接的应用程序:管理连接的应用程序的其他访问权限设置:管理权限集
推荐配置
管理权限集。
控制概览
此安全设置使 Salesforce 管理员能够通过将目标权限集映射到连接的应用程序来限制特定用户的应用程序访问权限,并确保只有具有明确分配的用户才能进行身份验证。
安全风险(如果未配置)
连接的应用程序的权限集授予过多会导致漏洞,集成工具通过在权限过大的用户会话上下文中操作,泄露的数据远远超出了预期的业务需求。
威胁场景
管理员无意中将广泛的、无所不包的权限集分配给 Data Loader 工具,授予集成访问权限并修改敏感的主管薪酬记录,而这些记录本应仅限于一小部分人力资源用户。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不实施基于权限集的门控会助长未经授权的跨集成平台横向数据移动,并在用户凭据泄露期间显著扩展潜在的攻击面。
高风险
当应用程序配置为具有完整访问范围时,或者当分配的权限集包括系统级修改所有数据功能时。
低风险
如果组织使用符合最低权限原则的特定于任务的权限集,则仅授予连接的应用程序功能所需的最低对象级权限。
业务和集成注意事项
使用权限集是授予对应用程序的精细、个人级访问权限的安全标准,而简档更适合在整个部门进行广泛的、基于角色的应用程序部署。
建议的补救措施
转到“管理连接的应用程序”页面,选择特定应用程序,单击管理权限集,并仅选择授权预期用户组所需的特定集。
安全健康审查指导
安全运行状况审查将应用程序授权的权限集的使用确定为强烈建议的标准,以强制执行以身份为中心的安全性,并防止过度配置对外部集成的数据访问。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
