Usted está aquí:
Seguridad: Emitir tokens de acceso basados en tokens web JSON (JWT) para el control de usuarios nombrados
Esta configuración de seguridad hace que el servidor de autorización de Salesforce pase de emitir tokens de acceso basados en referencias opacos a emitir tokens web JSON independientes firmados criptográficamente.
Nombre de control
Aplicaciones cliente externas: Seguridad: Emitir tokens de acceso basados en tokens web JSON (JWT) para usuarios nombrados
Configuración recomendada
Emita tokens de acceso basados en tokens web JSON (JWT) para usuarios nombrados.
Descripción general de control
Esta configuración de seguridad hace que el servidor de autorización de Salesforce pase de emitir tokens de acceso basados en referencias opacos a emitir tokens web JSON independientes firmados criptográficamente que incluyen reclamaciones de permisos e identidad de usuario.
Riesgo de seguridad si no está configurado
Cuando esto no está activado, los sistemas externos deben realizar una llamada con estado al extremo de introspección de Salesforce para cada solicitud para verificar la validez del token, lo que aumenta la latencia y crea una dependencia de la disponibilidad en tiempo real para la autorización.
Escenarios de amenazas
Un servidor de recursos externo no puede verificar de forma independiente la integridad o el ámbito de un token opaco heredado durante una partición de red, lo que lleva a una interrupción total del servicio o al procesamiento potencial de solicitudes no autorizadas si la lógica de apertura con fallo se implementa de forma incorrecta.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
La dependencia de tokens opacos en arquitecturas altamente distribuidas da como resultado un aumento de la carga de trabajo de procesamiento y limita la capacidad de los microservicios externos para realizar comprobaciones de autorización localizadas detalladas basándose en reclamaciones JWT estándar.
Mayor riesgo cuando
El riesgo es mayor en entornos de múltiples nubes de gran volumen donde la latencia de las llamadas de introspección de canal de retorno constante puede degradar el desempeño de la aplicación y exponer el servidor de autorización a condiciones de denegación de servicio.
Bajo riesgo cuando
El escenario es de menor riesgo para integraciones sencillas y monolíticas donde el servidor de recursos y el servidor de autorización residen en la misma red de confianza y la sobrecarga de la introspección de tokens es insignificante.
Consideraciones de negocio e integración
La activación de tokens basados en JWT mejora la compatibilidad con pasarelas de API modernas y servicios sin plataforma que requieren tokens sin estado estandarizados, pero requiere que estos sistemas gestionen claves públicas para la verificación de firmas.
Remediación recomendada
Vaya a la configuración de OAuth de la aplicación cliente externa y seleccione la casilla de verificación para emitir tokens de acceso basados en tokens web JSON (JWT) para usuarios nombrados.
Directrices de revisión del estado de seguridad
Security Health Review identifica el uso de tokens de acceso basados en JWT como un estándar obligatorio para arquitecturas modernas e interoperables, de modo que los datos de identidad y autorización pueden verificarse sin estado entre pilas de tecnología diversas.
