Sie befinden sich hier:
Verwenden einer beliebigen API – Einschränkung
Schränkt den API-Zugriff nur auf vom Administrator genehmigte verbundene Anwendungen ein, wodurch Benutzer nicht autorisierte oder ältere API-Clients verwenden können.
Steuerelementname
Verwenden eines beliebigen API-Clients – Einschränkung
Steuerelementübersicht
Schränkt den API-Zugriff nur auf vom Administrator genehmigte verbundene Anwendungen ein, wodurch Benutzer nicht autorisierte oder ältere API-Clients verwenden können.
Beschreibung
Deaktiviert die globale Use Any API Client für alle Profile und Berechtigungssätze und erzwingt alle programmgesteuerten Interaktionen durch definierte OAuth-Flows.
Empfohlene Konfiguration
Deaktivieren Sie Use Any API Client on all Profiles (Beliebigen API-Client für alle Profile verwenden). Ersetzen Sie den Zugriff durch detaillierten Zugriff, indem Sie bestimmte verbundene Anwendungen Benutzern zuweisen, die vom Sicherheitsteam überprüft und autorisiert wurden.
Sicherheitsauswirkung
Schließt eine massive Sicherheitslücke, in der Benutzer ihre Anmeldeinformationen in nicht vertrauenswürdigen Drittanbieteranwendungen oder CLI-Skripts verwenden könnten, die die Unternehmensüberwachung umgehen.
Geschäftsauswirkungen
Verbessert die Sichtbarkeit, welche Anwendungen API-Obergrenzen nutzen und auf Daten zugreifen, was zu einer besseren Ressourcenverwaltung und Überprüfbarkeit führt, wodurch strengere Sicherheitsrichtlinien den Sicherheitsstatus insgesamt stärken.
Sicherheitsrisiko, wenn nicht konfiguriert
Nicht autorisierte Benutzer oder potenzielle Angreifer mit gestohlenen Anmeldeinformationen können jedes API-kompatible Tool verwenden, um Daten zu scrapen und dabei die von den Drittanbieteranwendungen vorgesehenen Sicherheits-Wrapper zu umgehen.
Bedrohungsszenarien
Datenexfiltration: Nicht autorisierter Datenexport Missbrauch von Anmeldeinformationen: Ein geleaktes Kennwort wird über ein benutzerdefiniertes Skript verwendet, das einen vertrauenswürdigen Client imitiert.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Hohes Risiko für Unternehmen mit vielen Administratoren oder Benutzern mit Profilen mit erhöhtem Zugriff, die bisher auf einen breiten API-Zugriff angewiesen waren.
Höheres Risiko, wenn
In Profilen ist zudem "Berichte exportieren" oder "Alle Daten modifizieren" aktiviert, da "Beliebigen API-Client verwenden" eine programmatische Schnellstraße zu diesen Berechtigungen bereitstellt.
Geringes Risiko, wenn
Der Zugriff wird streng über OAuth-Geltungsbereiche der verbundenen Anwendung vermittelt.
Überlegungen zu Unternehmen und Integration
Wenn Sie dies deaktivieren, können vorhandene Skripts oder ältere Integrationen beschädigt werden, die nicht als externe Drittanbieteranwendungen registriert wurden.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung scannt die Metadaten der Berechtigungen, um Profile zu identifizieren, für die die Clientkonfiguration "Beliebige API verwenden" in Ihrer Salesforce-Organisation aktiviert ist.
Wer ist betroffen?
Interne Mitarbeiter, Administratoren, Entwickler und Belegschaftsbenutzer, die direkt über Salesforce auf verbundene Anwendungen zugreifen.
