Sie befinden sich hier:
Setup der Omni-Integrationskonfiguration für EnableQueryWithFLS auf "True" festgelegt
Erzwingt die Feldebenensicherheitsvalidierung (FLS) bei SOQL-Abfragen, die von OmniStudio-Integrationsverfahren und DataRaptors ausgeführt werden.
Steuerelementname
OmniStudio: Objekt- und Feldebenensicherheit (Wählen Sie Omni-Integrationskonfigurations-Setup für EnableQueryWithFLS auf "True" festgelegt aus).
Steuerelementübersicht
Erzwingt die Feldebenensicherheitsvalidierung (FLS) bei SOQL-Abfragen, die von OmniStudio-Integrationsverfahren und DataRaptors ausgeführt werden, und stellt sicher, dass Benutzer nur Felder abfragen können, die sie explizit über ihre Profile/Berechtigungssätze lesen dürfen.
Beschreibung
Wenn diese Option in den benutzerdefinierten Einstellungen der Omni-Integrationskonfiguration aktiviert ist, ändert OmniStudio Abfragezeichenfolgen zur Laufzeit dynamisch, um Felder ohne FLS-Lesezugriff auszuschließen. Verhindert, dass Low-Code-Komponenten die Salesforce-Standardfeldsicherheit durch dynamische Abfragekonstruktion umgehen.
Empfohlene Konfiguration
Wählen Sie Omni-Integrationskonfigurations-Setup für EnableQuery aus, wobei unter "Setup" > "Benutzerdefinierte Einstellungen" > "Omni-Integrationskonfiguration" auf "True" festgelegt ist.
Sicherheitsauswirkung
Beseitigt die FLS-Umgehungsschwachstelle in OmniStudio, bei der Integrationsverfahren eingeschränkte personenbezogene Felder unabhängig von Benutzerberechtigungen abfragen können. Gewährleistet einheitliche Feldsicherheit in der Low-Code und traditionellen Apex Entwicklung.
Geschäftsauswirkungen
Passt die OmniStudio-Abfragesicherheit an das native Salesforce-Governance-Modell an. Unterstützt Compliance-Überprüfungen, die die einheitliche Durchsetzung von FLS auf allen Anwendungsebenen, einschließlich Vlocity-Implementierungen, belegen.
Sicherheitsrisiko, wenn nicht konfiguriert
Fehlende erweiterte Sicherheitsprüfungen zur strengen Validierung der Feldebenen-Abfrageberechtigungen für alle Benutzer, die OmniStudio verwenden, ermöglichen den Zugriff auf nicht autorisierte Felder über dynamische Low-Code-Abfragen.
Bedrohungsszenarien
Externe Portalbenutzer oder kompromittierte Accounts fragen vertrauliche personenbezogene Felder (SSN, medizinische ID, Finanzdaten) über OmniStudio-FlexCards ab, die die Einmalkennzahl ignorieren. Interne Benutzer greifen über Ausgaben für Integrationsverfahren ohne Feldeinschränkungen auf Gehalts-, Leistungs- oder vertrauliche Daten zu.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Fehlerhafte Änderung, die umfassende Tests vorhandener DataRaptors/Integrationsverfahren erfordert; Leistungsaufwand durch dynamisches Umschreiben von Abfragen; Aktualisierungen des Berechtigungssatzes sind wahrscheinlich nach der Aktivierung erforderlich.
Höheres Risiko, wenn
Komplexes FLS-Modell mit Einschränkungen für granulare Felder, externen/Experience Cloud-Benutzern, die auf personenbezogene Daten zugreifen, OmniStudio für kundenorientierte Anwendungen, Shield-Verschlüsselung für eingeschränkte Felder.
Geringes Risiko, wenn
Einheitlicher Feldzugriff über Profile hinweg, nur interne Benutzer, schreibgeschützte OmniStudio-Dashboards ohne dynamische Abfragen, einfaches Objektmodell ohne sensible Felder.
Überlegungen zu Unternehmen und Integration
Muss für OmniStudio-Bereitstellungen in der Produktion vorhanden sein; zuerst in der Sandbox aktivieren und alle Integrationsverfahren validieren; FLS-Einstellungen für personenbezogene Daten vor der Einführung der Produktion überprüfen.
Anleitung zur Sicherheitsintegritätsprüfung
Muss es.
Wer ist betroffen?
OmniStudio-Entwickler, die Integrationsverfahren erstellen, Sicherheitsadministratoren, die die Verwaltung von Flugsicherheitsmaßnahmen verwalten, externe Portalbenutzer, die auf eingeschränkte Daten zugreifen, Compliance-Teams, die die Durchsetzung der Feldsicherheit validieren.
