OAuth 和 OpenID Connect 设置

控件名称

OAuth 和 OpenID Connect 设置。

推荐配置

强制执行安全 OAuth 设置，并禁用弱 OAuth 流。

控制概览

OAuth 主要用于为外部应用程序（例如移动应用程序、第三方集成或自定义 Web 入口网站）提供对平台数据的安全的委派访问，而无需用户直接与这些应用程序共享他们的 Salesforce 凭据。安全配置 OAuth 设置或流有助于保护 OAuth 密码。

安全风险（如果未配置）

Salesforce 中的不安全 OAuth 设置造成了一个后门漏洞，被盗或特权过大的令牌使得攻击者能够绕过标准安全控制，例如多重身份验证 (MFA) 和密码提示。

威胁场景

妥协的外部应用程序或供应链妥协允许攻击者攻击广泛使用的第三方集成，而不是 Salesforce 本身。由于这些令牌是由 Salesforce 管理员“预授权的”，因此攻击者可以重放它们来获得对敏感 CRM 数据的即时、高权限访问权限，而不需要用户名、密码或多重身份验证 (MFA)。

估计的 CVSS 得分范围

临界 (9.0–10.0) 或高 (7.0–8.9)，取决于 OAuth 设置。

风险影响注意事项

风险严重性取决于配置的设置和流、API 范围和 OAuth 客户端端点安全性。

高风险

未对生产组织、Sandbox 或开发人员组织强制实施会话控制：完全访问范围 API 缺少 IP 允许列表单点注销配置。

低风险

当实施以下一项或多项时，此控制可视为低风险：

• 受限 API 范围：集成用户的 API 范围根据最低权限受到限制
• 定期令牌刷新：令牌会定期刷新，并在令牌刷新时强制执行密码验证
• 登录 IP 允许列表：限制连接的应用程序的 IP 地址，以确保它来自受信网络。
• 需要代码交换证明密钥 (PKCE)：确保只有请求登录的确切客户端才能实际使用生成的代码。
• 单点注销：在用户注销时终止所有会话。

业务和集成注意事项

客户应评估 OAuth 设置与外部应用程序、自动化工具和集成的兼容性。

建议的补救措施

为连接的应用程序启用安全 OAuth 流，限制与受信网络的连接，并限制 API 范围。

安全健康审查指导

安全健康审查通过检查启用的流类型、令牌轮换设置、单点注销、API 范围和 IP 允许列表登录方法评估 OAuth 设置，以帮助客户降低基于凭据的攻击风险，并符合 Salesforce 推荐的安全基准和 Zero Trust 原则。