Loading
Ställa in och bibehålla din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            Säkerhet: Aktivera rotation av uppdateringstoken

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Ställa in och bibehålla din Salesforce-organisation

            Säkerhet: Aktivera rotation av uppdateringstoken

            Denna säkerhetsinställning ogiltigförklarar och ersätter varje uppdateringstoken med en ny engångstoken när en klient använder den för att få en ny åtkomsttoken.

            Kontrollnamn

            Externa klientappar: Säkerhet: Aktivera rotation av uppdateringstoken

            Rekommenderad konfiguration

            Aktivera Rotation av uppdateringstoken.

            Kontrollöversikt

            Denna säkerhetsinställning ogiltigförklarar och ersätter varje uppdateringstoken med en ny engångstoken när en klient använder den för att få en ny åtkomsttoken.

            Säkerhetsrisk om den inte är konfigurerad

            Utan rotation förblir en komprometterad uppdateringstoken giltig tills vidare eller tills den går ut, vilket låter en attackerare upprätthålla beständig, obehörig åtkomst till miljön utan att någonsin behöva återautentisera.

            Hotscenarier

            En attackerare extraherar en statisk uppdateringstoken från en lokal enhet eller programlogg och använder den för att programmatiskt skapa en kontinuerlig ström av giltiga åtkomsttokens, vilket effektivt etablerar en permanent bakdörr till Salesforce-instansen.

            Uppskattat CVSS-betygintervall

            Hög (7,0-8,9).

            Att tänka på vad gäller riskpåverkan

            Att misslyckas med att implementera rotation underlättar långsiktig dataexfiltrering och oupptäckt kontoövertagande, eftersom attackeraren kan förbli inloggad även om den legitima användaren ändrar sitt lösenord eller slutför en utmaning med flerfaktorsautentisering.

            Högre risk när

            Risken är högre för offentliga klienter som mobilappar eller program med en sida som lagrar tokens i mindre säkra lokala miljöer och för integreringar som har beviljats breda administrativa behörigheter.

            Låg risk när

            Om företaget tillämpar mycket korta absoluta livslängder för alla uppdateringstokens och använder strikt IP-adressfiltrering för att säkerställa att tokens endast används från kända, betrodda nätverk.

            Att tänka på vad gäller affärer och integration

            Att aktivera rotation kräver att klientprogrammet kan hantera den uppdaterade uppdateringstoken som returneras i varje utbyte och framgångsrikt behålla det nya värdet för att undvika synkroniseringsfel.

            Rekommenderad åtgärd

            Gå till OAuth-inställningarna för den externa klientappen och markera kryssrutan för att slå på rotation av uppdateringstoken.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning identifierar rotation av uppdateringstoken som en obligatorisk djupgående standard för sessionshantering, så att säljprojektfönstret för en stulen bärartoken begränsas till en enskild transaktion.

            Se även:

             
            Laddar
            Salesforce Help | Article