您在此处:
使用任何 API - 限制
将 API 访问权限限制为仅管理员批准的连接的应用程序,使用户无法使用未授权或原有 API 客户端。
控件名称
使用任何 API 客户端 - 限制
控制概览
将 API 访问权限限制为仅管理员批准的连接的应用程序,使用户无法使用未授权或原有 API 客户端。
描述
在所有简档和权限集中禁用全局Use Any API Client系统权限,通过定义的 OAuth 流强制所有编程交互。
推荐配置
取消选择在所有简档上使用任何 API 客户端。通过将用户分配到经过安全团队审查和授权的特定连接的应用程序,使用粒度访问权限进行替换。
安全影响
填补了一个巨大的安全漏洞,用户可以在不可信的第三方应用程序或绕过公司监控的 CLI 脚本中使用他们的凭据。
业务影响
提高了对特定应用程序消耗 API 限制和访问数据的可见性,从而改善了资源管理和可审计性,允许更严格的安全策略来加强整体安全状况。
安全风险(如果未配置)
未经授权的用户或具有被盗凭据的潜在攻击者可以使用任何 API 兼容工具来刮除数据,绕过第三方应用程序意图使用的安全包装。
威胁场景
数据泄露:未经授权的数据导出凭据滥用:泄露的密码通过模仿受信客户端的自定义脚本使用。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
对于拥有许多管理员或访问权限简档提升且历来依赖广泛 API 访问权限的用户的公司,风险较高。
高风险
简档还启用了导出报表或修改所有数据,因为使用任何 API 客户端提供了通往这些权限的编程通道。
低风险
访问严格通过连接的应用程序 OAuth 范围进行中介。
业务和集成注意事项
禁用它可能会破坏尚未注册为外部第三方应用程序的现有脚本或原有集成。
安全健康审查指导
安全运行状况审查扫描权限元数据,以识别在您的 Salesforce 组织中启用了“使用任何 API 客户端”配置的任何简档。
谁受到影响
内部员工、管理员、开发人员和员工用户可通过 Salesforce 直接访问连接的应用程序。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
