Vous êtes ici :
Sécurité : Émission de jetons d'accès basés sur JWT (JSON Web Token) pour le contrôle des utilisateurs nommés
Ce paramètre de sécurité fait passer le serveur d'autorisation Salesforce de l'émission de jetons d'accès opaques basés sur une référence à l'émission de jetons Web JSON signés cryptographiquement autonomes.
Nom du contrôle
Applications clientes externes : Sécurité : Émettre des jetons d'accès basés sur JWT (JSON Web Token) pour des utilisateurs nommés
Configuration recommandée
Émettez des jetons d'accès basés sur JWT (JSON Web Token) pour des utilisateurs nommés.
Vue d'ensemble du contrôle
Ce paramètre de sécurité transfère le serveur d'autorisation Salesforce de l'émission de jetons d'accès opaques basés sur une référence à l'émission de jetons Web JSON signés cryptographiquement et autonomes qui incluent des réclamations d'identité et d'autorisation utilisateur.
Risque de sécurité s'il n'est pas configuré
Lorsque cette option n'est pas activée, les systèmes externes doivent effectuer un appel externe au point de terminaison d'introspection Salesforce pour chaque requête de vérification de la validité du jeton, ce qui augmente la latence et crée une dépendance à la disponibilité en temps réel pour l'autorisation.
Scénarios de menace
Un serveur de ressources externes ne peut pas vérifier indépendamment l'intégrité ou la portée d'un jeton opaque hérité pendant une partition réseau, ce qui entraîne une panne de service totale ou le traitement potentiel de requêtes non autorisées si la logique d'ouverture échouée est implémentée de façon incorrecte.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le recours à des jetons opaques dans des architectures très distribuées entraîne une augmentation des surcharges de traitement et limite la capacité des microservices externes à effectuer des contrôles d'autorisation précis et localisés basés sur des réclamations JWT standard.
Risque plus élevé quand
Le risque est plus élevé dans les environnements multicloud à haut volume où la latence des appels d'introspection back-channel constants peut dégrader les performances de l'application et exposer le serveur d'autorisation à des conditions de refus de service.
Risque faible quand
Le scénario est moins risqué pour les intégrations simples et monolithiques où le serveur de ressources et le serveur d'autorisation résident dans le même réseau de confiance et où les frais généraux d'introspection de jeton sont négligeables.
Considérations relatives à l'entreprise et à l'intégration
L'activation de jetons basés sur JWT améliore la compatibilité avec les passerelles d'API modernes et les services hors plate-forme qui nécessitent des jetons standardisés et sans état, mais ces systèmes doivent gérer les clés publiques pour la vérification de la signature.
Remédiation recommandée
Accédez aux paramètres OAuth de l'application cliente externe, puis cochez la case d'émission de jetons d'accès basés sur JWT (JSON Web Token) pour les utilisateurs nommés.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation de jetons d'accès basés sur JWT en tant que norme obligatoire pour les architectures modernes et interopérables, ce qui permet de vérifier l'identité et les données d'autorisation sans apatridie dans diverses piles technologiques.
