Du er her:
Sikkerhet: Utstede JSON-nettokenbaserte tilgangstokener (JWT) for navngitte brukere
Denne sikkerhetsinnstillingen overfører Salesforce-godkjenningsserveren fra å utstede opaque, referansebaserte tilgangstokener til å utstede frittstående, kryptografisk signert JSON-netttokener.
Navn på kontroll
Eksterne klientapper: Sikkerhet: Utstede JSON-nettokenbaserte tilgangstokener (JWT) for navngitte brukere
Anbefalt konfigurasjon
Utsted JSON Web Token (JWT)-baserte tilgangstokener for navngitte brukere.
Oversikt over kontroll
Denne sikkerhetsinnstillingen overfører Salesforce-godkjenningsserveren fra å utstede opaque, referansebaserte tilgangstokener til å utstede frittstående, kryptografisk signerte JSON-netttokener som inkluderer brukeridentitet og tillatelseskrav.
Sikkerhetsrisiko hvis ikke konfigurert
Når dette ikke er aktivert, må eksterne systemer utføre et statusfullt kall til Salesforce-innsøkelsessluttpunktet for hver forespørsel om å bekrefte tokenvaliditet, noe som øker latensen og skaper en avhengighet av sanntidstilgjengelighet for godkjenning.
Trusselscenarier
En ekstern ressursserver kan ikke uavhengig bekrefte integriteten eller omfanget av et tidligere opakt token under en nettverkspartisjon, noe som fører enten til et totalt tjenesteavbrudd eller potensiell behandling av uautoriserte forespørsler hvis feilåpningslogikk implementeres feilaktig.
Beregnet CVSS Score-område
Høyt (7.0–8,9).
Viktige punkter om risikoinnvirkning
Å basere seg på ugjennomsiktige tokener i høyt distribuerte arkitekturer fører til økt behandlingsoverhead og begrenser muligheten for eksterne mikrotjenester til å utføre detaljert, lokaliserte godkjenningskontroller basert på standard JWT-krav.
Høyere risiko når
Risikoen er høyere i miljøer med flere skyer med stor trafikk, der latens for konstant tilbakekanalintrospeksjonskall kan redusere programytelsen og eksponere godkjenningsserveren for betingelser for tjenestenekt.
Lav risiko når
Scenariet er lavere risiko for enkle, monolittiske integrasjoner der ressursserveren og godkjenningsserveren befinner seg innenfor det samme klarerte nettverket, og overskuddet for tokenanalyse er ubetydelig.
Viktige punkter om virksomheten og integrasjonen
Aktivering av JWT-baserte tokener forbedrer kompatibiliteten med moderne API-gatewayer og offline tjenester som krever standardiserte, statusløse tokener, men krever at disse systemene behandler felles nøkler for signaturbekreftelse.
Anbefalt rettelse
Gå til OAuth-innstillingene i External Client-appen, og merk avmerkingsboksen for å utstede JSON Web Token-baserte tilgangstokener (JWT) for navngitte brukere.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering identifiserer bruken av JWT-baserte tilgangstokener som en obligatorisk standard for moderne, interoperable arkitekturer, slik at identitets- og godkjenningsdata kan bekreftes uten status på tvers av ulike teknologisett.
