Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Abilitazione flusso OAuth: Abilitazione del flusso bearer JWT

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            Abilitazione flusso OAuth: Abilitazione del flusso bearer JWT

            Questa impostazione di protezione attiva un flusso OAuth 2.0 basato su certificato che consente a un'applicazione di eseguire l'autenticazione firmando un token Web JSON (JWT) con una chiave privata anziché utilizzare un segreto condiviso statico.

            Nome controllo

            App client esterne: Abilitazione flusso OAuth: Abilitazione del flusso bearer JWT

            Configurazione consigliata

            Abilitare il flusso bearer JWT.

            Panoramica sul controllo

            Questa impostazione di protezione attiva un flusso OAuth 2.0 basato su certificato che consente a un'applicazione di eseguire l'autenticazione firmando un token Web JSON (JWT) con una chiave privata anziché utilizzare un segreto condiviso statico.

            Rischio per la sicurezza se non configurato

            Senza il flusso bearer JWT, le integrazioni spesso si basano su metodi basati su password o segreti meno sicuri che sono vulnerabili al credential stuffing, agli attacchi brute-force e all'esposizione accidentale nel codice sorgente o nei registri.

            Scenari di minaccia

            Un aggressore intercetta o scopre un segreto client in formato testo normale e lo utilizza per stabilire una connessione persistente all'API, mentre un sistema basato su JWT richiederebbe che l'aggressore possegga il file della chiave privata, protetto in modo pesante.

            Intervallo di punteggi CVSS stimato

            Alto (7,0–8,9).

            Considerazioni sull'impatto del rischio

            Affidarsi ai segreti statici anziché alla crittografia asimmetrica aumenta la probabilità di una violazione dei dati a lungo termine, poiché i segreti compromessi sono più difficili da rilevare e ruotare rispetto ai certificati digitali.

            Rischio maggiore quando

            Se l'utente integrazione dispone di autorizzazioni amministrative elevate e la connessione viene stabilita su segmenti di rete pubblici o non gestiti.

            Basso rischio quando

            Se l'organizzazione utilizza già un solido servizio di gestione delle chiavi per proteggere le chiavi private e applica un rigoroso elenco IP consentiti per tutte le richieste firmate JWT in entrata.

            Considerazioni su Business e integrazione

            L'implementazione di questo flusso richiede agli sviluppatori di gestire i certificati digitali e implementare il codice locale per la firma dei token, il che aumenta la complessità rispetto alla semplice autenticazione basata su segreto.

            Rimedio consigliato

            Accedere alle impostazioni OAuth dell'app client esterna, caricare un certificato digitale valido e selezionare la casella di controllo per attivare il flusso bearer JWT.

            Guida all'esame dello stato della sicurezza

            Security Health Review identifica l'uso della crittografia asimmetrica per l'autenticazione da macchina a macchina come standard obbligatorio per gli ambienti con sicurezza elevata, in modo che le credenziali non possano essere facilmente clonate o intercettate.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article