Olet tässä:
OAuth- ja OpenID Connect -asetukset
OAuth-todennusta käytetään ensisijaisesti tarjotakseen turvallisen ja delegoidun pääsyn sovellusalustan tietoihin ulkoisille sovelluksille.
Ohjaimen nimi
OAuth- ja OpenID Connect -asetukset.
Suositeltu kokoonpano
Noudata suojattuja OAuth-asetuksia ja poista heikot OAuth-kulut käytöstä.
Ohjauksen yleiskatsaus
OAuth-todennusta käytetään ensisijaisesti tarjotakseen suojatun ja delegoidun pääsyn sovellusalustan dataan ulkoisille sovelluksille — kuten mobiilisovelluksille, kolmansien osapuolten integraatioille tai mukautetuille verkkoportaaleille — ilman, että käyttäjiä vaaditaan jakamaan Salesforce-tunnuksensa suoraan kyseisten sovellusten kanssa. OAuth-asetusten tai -kulkujen suojattu kokoonpano auttaa varmistamaan, että OAuth-salaisuudet on suojattu.
Tietoturvariski, jos ei määritetty
Salesforcen suojaamattomat OAuth-määritykset luovat taustahaavoittuvuuden, jossa varastetut tai liian etuoikeutetut tokenit sallivat hyökkääjien ohittaa vakiomuotoiset suojausasetukset, kuten monimenetelmäisen todennuksen (MFA) ja salasanan kehotteet.
Uhkien skenaariot
Vaarantunut ulkoinen sovellus tai Supply Chain Compromise, joka sallii hyökkääjän, kohdistuu laajalti käytettyyn kolmannen osapuolen integraatioon Salesforcen sijaan. Koska Salesforce-pääkäyttäjä on esivaltuuttanut nämä valtuudet, hyökkääjä voi toistaa ne saadakseen välittömän ja yksityisomistajan pääsyn luottamuksellisiin CRM-tietoihin ilman, että hän tarvitsee käyttäjänimeä, salasanaa tai monimenetelmäistä todennusta (MFA).
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0) tai Korkea (7.0–8.9), riippuen OAuth-määrityksistä.
Riskien vaikutuksissa huomioitavia asioita
Riskien vakavuus riippuu määritetyistä asetuksista ja kulusta, API-vaikutusalueesta ja OAuth-asiakkaan päätepisteen suojauksesta.
Korkeampi riski, kun
Istuntojen ohjaimia ei sovelleta tuotanto-organisaatioille, sandboxeille tai kehitysorganisaatioille: Täyden käyttöoikeuden Scope API:n IP-osoitteen puute -luettelo sallii kertauloskirjautumiskokoonpanon.
Matalan riskin milloin
Tätä asetusta voidaan pitää vähäriskisenä, kun yksi tai useampi seuraavista on käytössä:
- Rajoitettu API-vaikutusalue: Integrointikäyttäjän API-vaikutusalue on rajoitettu vähimmän käyttöoikeuden perusteella
- Säännöllinen valtuuden päivitys: Valtuus päivitetään säännöllisesti ja salaisuus vahvistetaan, kun valtuus päivitetään
- Kirjautumisen IP-sallittujen luettelo: Rajoita yhdistetyn sovelluksen IP-osoitetta varmistaaksesi, että se on peräisin luotetusta verkostosta.
- Vaadi koodinvaihdon todennusavain (PKCE): Varmista, että vain kirjautumista pyytänyt asiakassovellus voi käyttää tuloksena olevaa koodia.
- Kertakirjautuminen: Lopeta kaikki istunnot, kun käyttäjä kirjautuu ulos.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Asiakkaiden tulisi arvioida OAuth-asetusten yhteensopivuus ulkoisen sovelluksen, automatisointityökalujen ja integraatioiden kanssa.
Suositeltu korjaus
Ota käyttöön suojattu OAuth-kulku yhdistetyille sovelluksille, rajoita yhteys luotettuihin verkkoihin ja rajoita API-vaikutusalueita.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus arvioi OAuth-asetukset tarkastamalla käytössä olevien kulkujen tyypin, valtuuksien kierrätysasetukset, kertakirjautumisen, API-vaikutusalueen ja IP Allow List -sisäänkirjautumismenetelmät auttaakseen asiakkaita vähentämään tunnuksiin perustuvien hyökkäysten riskiä ja noudattamaan Salesforcen suosittelemaa tietoturvaa ja Zero Trust -periaatteita.
