Loading
Konfigurere og vedlikeholde Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            Sikkerhet: Fjern hemmelighet for oppdateringstokenflyt

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Konfigurere og vedlikeholde Salesforce-organisasjonen

            Sikkerhet: Fjern hemmelighet for oppdateringstokenflyt

            Denne sikkerhetsinnstillingen krever at et program oppgir en gyldig klienthemmelighet sammen med et oppdateringstoken for å hente et nytt aktivt tilgangstoken fra Salesforce-godkjenningsserveren.

            Navn på kontroll

            Eksterne klientapper: Sikkerhet: Krev hemmelighet for oppdateringstokenflyt

            Anbefalt konfigurasjon

            Krev en hemmelighet for Oppdater tokenflyt.

            Oversikt over kontroll

            Denne sikkerhetsinnstillingen krever at et program oppgir en gyldig klienthemmelighet sammen med et oppdateringstoken for å hente et nytt aktivt tilgangstoken fra Salesforce-godkjenningsserveren.

            Sikkerhetsrisiko hvis ikke konfigurert

            Uten en nødvendig hemmelighet kan et kompromittert oppdateringstoken brukes av en uautorisert utøver til å generere en endeløs serie med gyldige økter uten at det er nødvendig med sekundær godkjenning på serversiden.

            Trusselscenarier

            En angriper trekker ut et oppdateringstoken med lang levetid fra en lokal enhet eller programlogg og genererer vellykket nye tilgangstokener programmatisk fra sin egen infrastruktur fordi endepunktet ikke bekrefter programmets private legitimasjon.

            Beregnet CVSS Score-område

            Høyt (7.0–8,9).

            Viktige punkter om risikoinnvirkning

            Tillatelse av oppdateringssykluser uten hemmelighet tillater vedvarende, ikke-oppdaget dataekspiltrering og uautorisert kontotilgang som forblir aktiv selv etter at en brukers første påloggingsøkt har utløpt.

            Høyere risiko når

            Hvis programmet ikke implementerer Oppdateringstokenrotasjon (RTR) eller hvis oppdateringstokenene har en ubestemt levetid, gir det en permanent bakdør for en angriper.

            Lav risiko når

            Hvis firmaet håndhever strenge IP-adresserestriksjoner for integrasjonsbrukeren og bruker kortlivede oppdateringstokener som krever hyppig interaktiv godkjenning.

            Viktige punkter om virksomheten og integrasjonen

            Aktivering av dette kravet sikrer at hemmeligheter forblir beskyttet på serveren, men det hindrer at offentlige klienter som mobilprogrammer eller enkeltsiders programmer oppdaterer økter direkte uten en sikker proxy.

            Anbefalt rettelse

            Naviger til OAuth-innstillingene i den eksterne klientappen, og merk av i avmerkingsboksen for å kreve klienthemmeligheten for oppdateringstokenflyten.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsgjennomgang identifiserer den obligatoriske bruken av en klienthemmelighet for oppdateringsoperasjoner som en kritisk dybdeforsvarsstandard, slik at stjålne bærertokener ikke kan våpenlegges uten den tilhørende private programlegitimasjonen.

            Se også:

             
            Laster
            Salesforce Help | Article