Loading
Configurar e manter a sua organização do Salesforce
Índice
Filtrar por (0)Adicionar
Selecionar filtros

          Sem resultados
          Sem resultados
          Aqui estão algumas dicas de pesquisa

          Verifique a grafia das palavras-chave.
          Tente utilizar termos mais genéricos.
          Selecione menos filtros para ampliar sua pesquisa.

            Pesquisar em toda a Ajuda do Salesforce
            Pesquisar em toda a Ajuda do Salesforce
            Segurança: Exigir segredo para atualizar o fluxo de tokens

            Você está aqui:

            1. Ajuda do Salesforce
            2. Documentação
            3. Configurar e manter a sua organização do Salesforce

            Segurança: Exigir segredo para atualizar o fluxo de tokens

            Essa configuração de segurança exige que um aplicativo forneça um segredo do cliente válido junto com um token de atualização para obter um novo token de acesso ativo do servidor de autorização do Salesforce.

            Nome do controle

            Aplicativos cliente externos: Segurança: Exigir segredo para atualizar o fluxo de token

            Configuração recomendada

            Exigir um segredo para Atualizar fluxo de token.

            Visão geral de controle

            Essa configuração de segurança exige que um aplicativo forneça um segredo do cliente válido junto com um token de atualização para obter um novo token de acesso ativo do servidor de autorização do Salesforce.

            Risco de segurança, se não configurado

            Sem um segredo obrigatório, um token de atualização comprometido pode ser usado por um ator não autorizado para gerar uma série infinita de sessões válidas sem precisar de nenhuma autenticação secundária no lado do servidor.

            Cenários de ameaça

            Um invasor extrai um token de atualização de longa duração de um registro de aplicativo ou dispositivo local e gera com sucesso de modo programático novos tokens de acesso de sua própria infraestrutura, pois o ponto de extremidade não verifica as credenciais privadas do aplicativo.

            Intervalo de pontuação de CVSS estimado

            Alto (7.0–8,9).

            Considerações sobre impacto de risco

            Permitir ciclos de atualização sem segredo permite a extração de dados persistente e não detectada e o acesso à conta não autorizado que permanece ativo mesmo após a expiração da sessão de login inicial de um usuário.

            Risco maior quando

            Se o aplicativo não implementar a rotação de token de atualização (RTR) ou se os tokens de atualização tiverem uma vida indeterminada, fornecerá um backdoor permanente para um invasor.

            Baixo risco quando

            Se a empresa impor restrições de endereço IP rígidas para o usuário de integração e usar tokens de atualização de curta duração que exigem uma nova autenticação interativa frequente.

            Considerações de negócios e integração

            Habilitar esse requisito garante que os segredos permaneçam protegidos no servidor de back-end, mas impede que clientes públicos, como aplicativos móveis ou de página única, atualizem sessões diretamente sem um proxy seguro.

            Remediação recomendada

            Navegue para as configurações do OAuth do aplicativo cliente externo e marque a caixa de seleção para exigir o segredo do cliente para o fluxo de token de atualização.

            Diretriz de revisão de saúde de segurança

            A Análise de integridade de segurança identifica o uso obrigatório de um segredo do cliente para operações de atualização como um padrão crítico de defesa em profundidade, de modo que tokens de portador roubados não podem ser armazenados sem a credencial de solicitação privada correspondente.

            Consulte também:

             
            Carregando
            Salesforce Help | Article