Loading
Opsæt og vedligehold din Salesforce-organisation
Indhold
Filtrer efter (0)Tilføj
Vælg filtre

          Ingen resultater
          Ingen resultater
          Her er nogle søgetips

          Kontroller stavemåden for dine søgeord.
          Brug mere generelle søgeudtryk.
          Vælg færre filtre for at gøre søgningen bredere.

            Søg efter alle i Hjælp til Salesforce
            Søg efter alle i Hjælp til Salesforce
            Sikkerhed: Krav hemmelighed for Opdater tokenforløb

            breadcrumbDescription

            1. helpHomeLinkText
            2. docsHomeLinkTextShort
            3. Opsæt og vedligehold din Salesforce-organisation

            Sikkerhed: Krav hemmelighed for Opdater tokenforløb

            Denne sikkerhedsindstilling kræver, at en applikation skal angive en gyldig klienthemmelighed sammen med et opdateringstoken for at få et nyt aktivt adgangstoken fra Salesforce-autorisationsserveren.

            Kontrolnavn

            Eksterne klientapps: Sikkerhed: Kræv hemmelighed for opdateringstokenforløb

            Anbefalet konfiguration

            Kræv en hemmelighed for Opdater tokenforløb.

            Kontroller oversigt

            Denne sikkerhedsindstilling kræver, at en applikation skal angive en gyldig klienthemmelighed sammen med et opdateringstoken for at få et nyt aktivt adgangstoken fra Salesforce-autorisationsserveren.

            Sikkerhedsrisiko, hvis den ikke er konfigureret

            Uden en krævet hemmelighed kan et kompromitteret opdateringstoken bruges af en uautoriseret aktør til at generere en uendelig række af gyldige sessioner uden at skulle kræve nogen sekundær godkendelse fra serveren.

            Trusselscenarier

            En angriber udtrækker et opdateringstoken med lang levetid fra en lokal enhed eller applikationslog og programmeringsmæssigt genererer nye adgangstokener fra deres egen infrastruktur, da slutpunktet ikke bekræfter applikationens private legitimationsoplysninger.

            Estimeret CVSS-scoringsinterval

            Høj (7,0-8,9).

            Overvejelser i forbindelse med risikopåvirkning

            Tilladelse af opdateringscyklusser uden hemmelighed tillader vedvarende, ikke-registreret dataudløb og uautoriseret kontoadgang, der forbliver aktiv, selv efter en brugers indledende loginsession er udløbet.

            Højere risiko når

            Hvis applikationen ikke implementerer RTR (Update Token Rotation), eller hvis opdateringstokener har en ubestemt levetid, giver det en permanent bagdør for en angriber.

            Lav risiko når

            Hvis firmaet håndhæver strenge IP-adressebegrænsninger for integrationsbrugeren og bruger kortvarige opdateringstokener, der kræver hyppig interaktiv godkendelse igen.

            Overvejelser i forbindelse med forretning og integration

            Aktivering af dette krav sikrer, at hemmeligheder forbliver beskyttede på back-end-serveren, men det forhindrer offentlige klienter som mobil- eller enkeltsideapplikationer i at opdatere sessioner direkte uden en sikker proxy.

            Anbefalet rettelse

            Naviger til OAuth-indstillingerne for den eksterne klientapp, og marker afkrydsningsfeltet for at kræve klienthemmeligheden for opdateringstokenforløbet.

            Vejledning til sikkerhedstilstandsgennemgang

            Sikkerhedstilstandscheck identificerer den obligatoriske brug af en klienthemmelighed til opdateringshandlinger som en kritisk dybdegående defensiv standard, så stjålne bearertokener ikke kan vapnes uden de tilsvarende private applikationslegitimationsoplysninger.

            Related information html

             
            Indlæser
            Salesforce Help | Article