您在此处:
EnableQueryWithFLS 的全方位集成配置设置设置为“真”
在 Omnistudio 集成程序和 DataRaptor 执行的 SOQL 查询期间,强制执行字段级安全性 (FLS) 验证。
控件名称
Omnistudio - 对象和字段级安全性(将 EnableQueryWithFLS 的全方位集成配置设置选择为“真”)。
控制概览
在 Omnistudio 集成程序和 DataRaptor 执行的 SOQL 查询期间,强制执行字段级安全性 (FLS) 验证,确保用户只能查询他们明确允许通过其简档/权限集读取的字段。
描述
在全方位集成配置自定义设置中启用时,Omnistudio 会在运行时动态修改查询字符串,以排除缺少 FLS 读取访问权限的字段。通过动态查询构建,防止低代码组件绕过标准 Salesforce 字段安全性。
推荐配置
在设置>自定义设置>全方位集成配置中,选择 EnableQueryWithFLS 的全方位集成配置设置为“真”。
安全影响
消除了 Omnistudio 中的 FLS 绕过漏洞,集成程序可以查询受限的 PII 字段,而不管用户权限如何。确保低代码和传统 Apex 开发的统一字段安全性。
业务影响
将 Omnistudio 查询安全性与本地 Salesforce 治理模型保持一致。支持合规性审计,在所有应用程序层(包括 Vlocity 实施)中展示一致的 FLS 实施。
安全风险(如果未配置)
缺乏高级安全检查强制来严格验证使用 Omnistudio 的所有用户的字段级查询权限,这允许通过动态低代码查询进行未经授权的字段访问。
威胁场景
外部入口网站用户或受威胁的客户通过忽略 FLS 的 Omnistudio FlexCard 查询敏感的 PII 字段(SSN、医疗 ID、财务数据);内部用户通过没有字段限制的集成程序输出访问工资、绩效或机密数据。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
中断需要全面测试现有 DataRaptor/集成程序的更改;动态查询重写的性能开销;权限集更新可能需要在启用后进行。
高风险
具有精细字段限制的复杂 FLS 模型、访问 PII 对象的外部/Experience Cloud 用户、支持面向客户应用程序的 Omnistudio、受限字段上的 Shield 加密。
低风险
跨简档的统一字段访问权限,仅限内部用户,不带动态查询的只读 Omnistudio 仪表板,不带敏感字段的简单对象模型。
业务和集成注意事项
生产 Omnistudio 部署必须具备;首先在 Sandbox 中启用并验证所有集成程序;在生产推出之前,审核 PII 对象上的 FLS 设置。
安全健康审查指导
一定是
谁受到影响
Omnistudio 开发人员构建集成程序,安全管理员管理 FLS,外部入口网站用户访问受限数据,合规团队验证现场安全实施。
