您位於此處:
EnableQueryWithFLS 設為「True」的 Omni 整合組態設定
在由 Omnistudio 整合程序與 DataRaptors 執行的 SOQL 查詢期間,強制執行欄位級安全性 (FLS) 驗證。
控制名稱
Omnistudio - 物件和欄位級安全性 (選取「EnableQueryWithFLS」設為「True」的「Omni 整合組態設定」)。
控制概觀
在 Omnistudio 整合程序和 DataRaptors 執行的 SOQL 查詢期間強制執行欄位級安全性 (FLS) 驗證,確保使用者只能查詢其透過其設定檔/權限集明確允許讀取的欄位。
描述
在 Omni 整合組態自訂設定中啟用時,Omnistudio 會在執行階段動態修改查詢字串,以排除缺少 FLS 讀取存取權的欄位。防止低程式碼元件透過動態查詢建構略過標準 Salesforce 欄位安全性。
建議組態
在「設定」>「自訂設定」>「Omni 整合組態」中,選取「EnableQueryWithFLS 的 Omni 整合組態設定」設定為「True」。
安全性影響
去除 Omnistudio 中的 FLS 略過漏洞,其中整合程序會查詢受限制的 PII 欄位,無論使用者權限為何。確保低程式碼和傳統 Apex 開發的統一欄位安全性。
業務影響
讓 Omnistudio 查詢安全性與原生 Salesforce 管理模型保持一致。支援合規性稽核,在所有應用程式層級 (包括 Vlocity 實作) 中示範一致的 FLS 強制執行。
未設定安全性風險
缺少進階安全性檢查強制執行,以使用 Omnistudio 嚴格驗證所有使用者的欄位級查詢權限,可透過動態低程式碼查詢進行未經授權的欄位存取。
威脅情況
外部入口網頁使用者或入侵的帳戶會透過忽略 FLS 的 Omnistudio FlexCard 查詢敏感 PII 欄位 (SSN、醫療識別碼、財務資料);內部使用者可透過缺少欄位限制的整合程序輸出存取薪資、績效或機密資料。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
需要全面測試現有 DataRaptors/整合程序的全方位變更;動態查詢重寫的效能負擔;可能需要啟用後的權限集更新。
風險愈高時機
具有細微欄位限制的複雜 FLS 模型、存取 PII 物件的外部/Experience Cloud 使用者、提供客戶面向應用程式的 Omnistudio、受限制欄位的 Shield 加密。
低度風險時機
設定檔之間的統一欄位存取權、僅限內部使用者、唯讀 Omnistudio 顯示面板不含動態查詢、不含敏感欄位的簡單物件模型。
業務與整合考量事項
必須有生產 Omnistudio 部署;請先在 Sandbox 中啟用並驗證所有整合程序;在生產首展之前,請先稽核 PII 物件上的 FLS 設定。
安全性健康檢閱指南
必須。
受影響的人員
Omnistudio 開發人員建立「整合程序」、安全性管理員管理 FLS、存取受限制資料的外部入口網頁使用者、驗證欄位安全性強制執行的合規小組。
