Sie befinden sich hier:
Setup der Omni-Integrationskonfiguration für ApexClassCheck auf "True" festgelegt
Erzwingt die strenge Apex-Klassenberechtigungsvalidierung in OmniStudio-Integrationsverfahren.
Steuerelementname
OmniStudio – Objekt- und Feldebenensicherheit (Wählen Sie Omni-Integrationskonfigurations-Setup für ApexClassCheck auf "True" festgelegt aus).
Steuerelementübersicht
Erzwingt eine strenge Apex-Klassenberechtigungsvalidierung innerhalb von OmniStudio-Integrationsverfahren. Dadurch wird sichergestellt, dass Benutzer autorisierte Apex-Klassen unabhängig vom Zugriff auf OmniStudio-Komponenten nur durch Low-Code-Orchestrierung ausführen können.
Beschreibung
Wenn diese Option in den benutzerdefinierten Einstellungen der Omni-Integrationskonfiguration aktiviert ist, validiert OmniStudio die Ausführungsberechtigungen der Apex-Klasse des aktuellen Benutzers, bevor Integrationsverfahren, DataRaptors oder andere Komponenten Apex-Logik im Backend aufrufen können.
Empfohlene Konfiguration
Wählen Sie Omni-Integrationskonfigurations-Setup für ApexClassCheck unter "Setup"> "Benutzerdefinierte Einstellungen"> "Omni-Integrationskonfiguration" auf "Wahr" festgelegt aus.
Sicherheitsauswirkung
Verhindert die Eskalation von Berechtigungen durch OmniStudio-Integrationsverfahren, indem sichergestellt wird, dass bei der Ausführung von Apex-Backends Einschränkungen auf Profil-/Berechtigungssatzklassenebene berücksichtigt werden, wodurch häufige Umgehungsmuster in Low-Code-Integrationen beseitigt werden.
Geschäftsauswirkungen
Passt die OmniStudio-Backend-Sicherheit an das standardmäßige Salesforce Apex Governance-Modell an. Unterstützt Compliance-Anforderungen für die einheitliche Durchsetzung von Berechtigungen auf benutzerdefinierten Entwicklungsplattformen.
Sicherheitsrisiko, wenn nicht konfiguriert
Mangels Durchsetzung von Sicherheitsprüfungen zur strengen Validierung der Berechtigung "Apex-Klasse" für alle Benutzer, die OmniStudio verwenden, ist die nicht autorisierte Ausführung vertraulicher Backend-Logik über Aufrufe des Integrationsverfahrens möglich.
Bedrohungsszenarien
Über scheinbar legitime OmniStudio-Workflows, auf die sie keinen direkten Zugriff haben sollten, führen kompromittierte Benutzer oder externe Portalaccounts berechtigte Apex-Klassen (Datenexporte, Massenaktualisierungen, Systemkonfiguration) aus.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Kann vorhandene Integrationsverfahren, die nicht autorisierten Apex aufrufen, beeinträchtigen. Umfangreiche Tests sind erforderlich. Die Auswirkungen auf die Leistung sind minimal, da die Validierung zum Kompilierungs-/Planzeitpunkt erfolgt.
Höheres Risiko, wenn
OmniStudio verarbeitet sensible Vorgänge (Verarbeitung von Massendaten, Finanzberechnungen, Verwaltung personenbezogener Daten), komplexe Berechtigungsmodelle mit granularen Einschränkungen für Apex-Klassen und Zugriff durch externe Benutzer.
Geringes Risiko, wenn
Nur interne Benutzer, einfache Integrationsverfahren zum Aufrufen von Apex-Klassen für öffentliche/Dienstprogramme, einheitlicher "vollständiger Apex-Zugriff", der allen aktiven Profilen gewährt wird.
Überlegungen zu Unternehmen und Integration
Ein Muss für OmniStudio-Bereitstellungen in der Produktion. Aktivieren Sie zunächst in der Sandbox die Option zum systematischen Überprüfen und Aktualisieren von Berechtigungssätzen, die Benutzern des Integrationsverfahrens Zugriff auf Apex-Klassen gewähren.
Anleitung zur Sicherheitsintegritätsprüfung
Muss es.
Wer ist betroffen?
Entwickler von OmniStudio-Integrationsverfahren, Sicherheitsadministratoren, die Apex-Berechtigungen verwalten, Endbenutzer, die auf OmniStudio-Anwendungen zugreifen, externe Portalbenutzer.
