詳細情報:
ApexClassCheck のオムニインテグレーション設定の定義を「True」に設定
OmniStudio Integration Procedure 内で Apex クラス権限の厳格な検証を適用します。
コントロール名
OmniStudio - オブジェクトおよび項目レベルセキュリティ ([Omni Integration Configuration Setup for ApexClassCheck set to 'True' (ApexClassCheck のオムニインテグレーション設定の [True] を選択)。
制御の概要
OmniStudio Integration Procedure内で厳格なApexクラス権限検証を適用し、OmniStudioコンポーネントのアクセス権に関係なく、ユーザーがローコード オーケストレーションを介してのみ承認されたApexクラスを実行できるようにします。
説明
Omni Integration Configuration カスタム設定で有効にすると、OmniStudio は Integration Procedure、DataRaptor、またはその他のコンポーネントがバックエンド Apex ロジックを呼び出すことを許可する前に、実行ユーザーの Apex クラス実行権限を検証します。
推奨設定
[設定] > [カスタム設定] > [Omni Integration Configuration (オムニインテグレーション設定)] で [Omni Integration Configuration Setup for ApexClassCheck set to "True" (ApexClassCheck のオムニインテグレーション設定の [True] に設定)] を選択します。
セキュリティへの影響
バックエンドApexの実行でプロファイル/権限セットのクラス・レベルの制限が遵守され、ローコードのインテグレーションでよく発生するバイパス・パターンを排除することで、OmniStudio Integration Procedureによる権限のエスカレーションを防止します。
ビジネスへの影響
OmniStudioバックエンド セキュリティを標準のSalesforce Apexガバナンス モデルに合わせます。カスタム開発プラットフォーム間で権限を統一するためのコンプライアンス要件をサポートします。
設定されていない場合のセキュリティリスク
OmniStudioを使用するすべてのユーザーに対するApexクラス権限を厳密に検証するセキュリティ チェックの適用がない場合、Integration Procedureコールを介して機密バックエンド ロジックが不正に実行される可能性があります。
脅威のシナリオ
侵害されたユーザーまたは外部ポータル アカウントは、直接アクセスしてはならない一見正当なOmniStudioワークフローを介して特権Apexクラス(データのエクスポート、一括更新、システム設定)を実行します。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
未承認の Apex をコールしている既存の Integration Procedure が破損する可能性があります。包括的なテストが必要です。検証はコンパイル/計画時に行われるため、パフォーマンスへの影響は最小限です。
より高いリスク
OmniStudioは、機密操作(一括データ処理、財務計算、PII管理)、詳細なApexクラス制限を含む複雑な権限モデル、外部ユーザー アクセスを処理します。
低リスク
内部ユーザーのみ、公開/ユーティリティApexクラスをコールするシンプルなインテグレーション手順、すべての有効なプロファイルに統一された「フルApexアクセス」が許可されます。
ビジネスと統合に関する考慮事項
本番 OmniStudio のリリースには必須。まず、Sandbox で有効にして、Integration Procedure ユーザーに Apex クラスアクセス権を付与する権限セットを計画的に監査および更新します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
そうに違いない
影響を受けるユーザー
OmniStudio Integration Procedure開発者、Apex権限を管理するセキュリティ管理者、OmniStudioアプリケーションにアクセスするエンド ユーザー、外部ポータル ユーザー。
