詳細情報:
Web アプリケーション設定: 要求署名の検証 - 制御の選択
このセキュリティ設定により、プラットフォームは、受信したすべての SAML または OAuth 要求のデジタル署名を信頼済み公開証明書に対して検証し、送信者が本物であることを確認する必要があります。
コントロール名
接続アプリケーション: Web アプリケーション設定: 要求署名の検証 - 選択
推奨設定
Web アプリケーション設定: 要求署名の検証 - 選択します。
制御の概要
このセキュリティ設定により、プラットフォームは、受信したすべての SAML または OAuth 要求のデジタル署名を信頼済み公開証明書に対して検証し、送信者が本物であることを確認する必要があります。
設定されていない場合のセキュリティリスク
接続 Web アプリケーションのアプリケーション要求署名を検証しないと、傍受または変更された未検証の要求によってデータが改ざんされ、不正なシステム変更が行われるリスクがあります。
脅威のシナリオ
攻撃者は、暗号化されていない認証要求を傍受し、要求が Salesforce サービスプロバイダーエンドポイントに到達する前にユーザー識別子または権限要求を変更してアクセス権を昇格させます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
署名検証を適用しないと、不正な管理アクションの実行や、操作されたインテグレーションパラメーターによる機密レコードの持ち出しが促進されます。
より高いリスク
接続アプリケーションが価値の高い金融取引を処理する場合、または組織が認証メタデータの送信に安全でない HTTP チャネルの使用を許可する場合。
低リスク
組織が認証機関を使用して有効期間の短い署名鍵を発行し、すべての API レベルの通信に相互トランスポート層セキュリティを適用している場合。
ビジネスと統合に関する考慮事項
署名検証を実装すると、すべての受信要求を拒否できなくなりますが、すべての送信ペイロードに署名するために必要な計算オーバーヘッドを外部サービスプロバイダーに要求する必要があります。
推奨される修復
[接続アプリケーションの Web アプリケーション設定] に移動し、正しい検証証明書が有効になっていることを確認しながら [要求署名を検証] チェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、要求署名の検証が、統合 ID 環境内の要求リプレイ攻撃やメッセージ改ざん攻撃から保護するために強く推奨される標準として識別されます。
