OAuth- en OpenID Connect-instellingen

Controlenaam

OAuth- en OpenID Connect-instellingen.

Aanbevolen configuratie

Dwing veilige OAuth-instellingen af en schakel zwakke OAuth-stromen uit.

Overzicht van besturingselementen

OAuth wordt voornamelijk gebruikt om veilige, gedelegeerde toegang tot de gegevens van het platform te bieden voor externe toepassingen, zoals mobiele apps, externe integraties of aangepaste webportals, zonder dat gebruikers hun Salesforce-inloggegevens rechtstreeks met die apps hoeven te delen. Veilige configuratie van de OAuth-instellingen of -stroom helpt OAuth-geheimen te beveiligen.

Beveiligingsrisico indien niet geconfigureerd

Een onveilige OAuth-set-up in Salesforce creëert een kwetsbaarheid achter de deur waardoor gestolen of te veel geprivilegieerde tokens aanvallers in staat stellen om standaard beveiligingsmaatregelen zoals multi-factorenauthenticatie (MFA) en wachtwoordaanwijzingen te omzeilen.

Dreigingsscenario's

Gecompromitteerde externe app of Supply Chain Compromise waardoor aanvallers zich richten op een veelgebruikte externe integratie in plaats van Salesforce zelf. Omdat deze tokens "vooraf zijn geautoriseerd" door een Salesforce-beheerder, kan de aanvaller ze opnieuw afspelen om direct toegang met hoge machtigingen te krijgen tot gevoelige CRM-gegevens zonder ooit een gebruikersnaam, wachtwoord of multi-factorenauthenticatie (MFA) nodig te hebben.

Geschatte CVSS-scorebereik

Kritiek (9,0–10,0) of Hoog (7,0–8,9), afhankelijk van de set-up van OAuth.

Overwegingen bij risico-impact

De ernst van het risico is afhankelijk van de instellingen en de geconfigureerde stroom, het API-bereik en de OAuth-clienteindpuntbeveiliging.

Hoger risico wanneer

Sessiebesturingselementen worden niet afgedwongen voor productieorganisaties, sandbox- of ontwikkelaarsorganisaties: Volledige API voor toegangsbereik Gebrek aan IP staat lijst Enkelvoudig uitloggen toe.

Laag risico wanneer

Deze controle kan als laag risico worden beschouwd wanneer een of meer van de volgende zaken worden geïmplementeerd:

• Beperkt API-bereik: Het API-bereik van de integratiegebruiker is beperkt op basis van de minste rechten
• Periodiek token vernieuwen: Token wordt periodiek vernieuwd en dwingt geheime validatie af wanneer token wordt vernieuwd
• Toegestane lijst voor inlog-IP: Beperk het IP-adres van de verbonden app om ervoor te zorgen dat deze afkomstig is van een vertrouwd netwerk.
• Bewijssleutel vereisen voor Code Exchange (PKCE): Ervoor zorgen dat alleen de exacte client die om inloggen heeft verzocht, de resulterende code daadwerkelijk kan gebruiken.
• Enkelvoudig uitloggen: Beëindig alle sessies wanneer een gebruiker uitlogt.

Overwegingen bij bedrijf en integratie

Klanten moeten de compatibiliteit van de OAuth-instellingen met de externe toepassing, automatiseringstools en integraties beoordelen.

Aanbevolen oplossing

Schakel een veilige OAuth-stroom in voor verbonden apps, beperk de verbinding met vertrouwde netwerken en beperk het API-bereik.

Begeleiding bij beoordeling van beveiligingstoestand

Beoordeling van beveiligingstoestand evalueert OAuth-instellingen door het type ingeschakelde stromen, instellingen voor tokenrotatie, enkelvoudig uitloggen, API-bereik en inlogmethoden voor IP-whitelist te inspecteren om klanten te helpen het op inloggegevens gebaseerde aanvalsrisico te verminderen en te voldoen aan de door Salesforce aanbevolen beveiligingsbaselines en Zero Trust principes.