Veilig - organisatorische beveiliging
Lees meer over Vertrouwd op Architectuur → Veilig → Organisatiebeveiliging → Authenticatie
| Waar zoeken? Productgebied | Locatie | Hoe ziet goed eruit? Patroon |
|---|---|
| Platform | Apex | ✅ Methoden die authenticatie uitvoeren, gebruiken benoemde inloggegevens om gebruikersnaam / wachtwoordstromen af te handelen |
| Platform | Apex | ✅ Geen gebruikersnamen of wachtwoorden worden weergegeven in code in leesbare indelingen (geen hard-coded waarden of tekenreeksen) |
| Platform | Apex | ✅ Als aangepaste inlogstromen bestaan, gebruiken alle gerelateerde aangepaste Apex de juiste SessionManagement |
| Platform | Aura | ✅ Geen gebruikersnamen of wachtwoorden worden weergegeven in code in leesbare indelingen (geen hard-coded waarden of tekenreeksen) |
| Platform | Aura | ✅ Methoden die authenticatie uitvoeren, gebruiken benoemde inloggegevens om gebruikersnaam / wachtwoordstromen af te handelen |
| Platform | Documentatie | ✅ Goedgekeurde beveiligingsidentiteiten zijn duidelijk gedefinieerd en vermeld |
| Platform | Documentatie | ✅ Toewijzing tussen beveiligingsidentiteiten en toegestane authenticatieschema's (UI, API) bestaan in een beveiligingsmatrix |
| Platform | Lightning webcomponenten (LWC) | ✅ Methoden die authenticatie uitvoeren, gebruiken benoemde inloggegevens om gebruikersnaam / wachtwoordstromen af te handelen |
| Platform | Lightning webcomponenten (LWC) | ✅ Geen gebruikersnamen of wachtwoorden worden weergegeven in code in leesbare indelingen (geen hard-coded waarden of tekenreeksen) |
| Platform | Organisatie | ✅ API-toegangscontrole voorkomt dat gebruikers authenticeren via een niet-geverifieerde verbonden app |
| Platform | Organisatie | ✅ De relatie tussen gebruikers en entiteiten die inloggen bij Salesforce is 1:1 (geen gedeelde gebruikers) |
| Platform | Organisatie | ✅ Inlogconfiguraties afstemmen op de Salesforce MFA Check |
| Platform | Organisatie | ✅ Als SSO is ingeschakeld, hebben goedgekeurde beheerders directe inlogtoegang |
| Platform | Organisatie | ✅ Forensisch onderzoek voor inloggen wordt gebruikt wanneer de inloghistorie langer dan 6 maanden moet worden bewaard Gebruik Forensisch onderzoek voor inloggen wanneer de inloghistorie 6 maanden-10 jaar moet worden bewaard |
Lees meer over Goed Vertrouwd → Veilig → Organisatorische beveiliging → Autorisatie
| Waar zoeken? Productgebied | Locatie | Hoe ziet goed eruit? Patroon |
|---|---|
| Einstein | Bots | ✅ Er is een unieke botgebruiker geconfigureerd voor elke zakelijke gebruikscase In de sectie Einstein Bot-samensteller-overzicht van een botconfiguratie biedt de geselecteerde botgebruiker alleen de minimale hoeveelheid toegang die nodig is voor het uitvoeren van het bedrijfsdoel waarvoor de bot is ontworpen, volgens het principe van de minste rechten |
| Platform | Apex | ✅ DB-bewerkingen voeren toegangscontroles op veldniveau en objectniveau op de juiste manier uit DML- en Database-DML-instructies declareren gebruikers- of systeemmodus voor gegevensbewerkingen EN / OF DML- en Database-DML-instructies gebruiken stripInaccessible voordat gegevensbewerkingen worden uitgevoerd |
| Platform | Apex | ✅ DB-bewerkingen voeren toegangscontroles op veldniveau en objectniveau op de juiste manier uit SOQL- en SOSL-instructies gebruiken WITH USER_MODE en WITH SYSTEM_MODE trefwoorden EN / OF stripInaccessible worden gebruikt om query- en subqueryresultaten te filteren |
| Platform | Apex | ✅ Databasebewerkingen voeren toegangscontroles op veld- en objectniveau op de juiste manier uit sObject describe-resultaatmethoden (d.w.z. isAccessible, isCreateable, isUpdateable en / of isDeletable) worden spaarzaam gebruikt |
| Platform | Ontwerpstandaarden | ✅ Gebruikscases voor het verlenen van verhoogde machtigingen worden duidelijk vermeld, waaronder: - Alle gegevens wijzigen - Alle gegevens weergeven |
| Platform | Documentatie | ✅ Elke gebruiker en elk systeem met toegang tot Salesforce wijst toe aan een of meer identiteiten in een beveiligingsmatrix |
| Platform | Documentatie | ✅ De beveiligingsmatrix vermeldt duidelijk machtigingen voor metagegevens en toegewezen gebruikersidentiteiten |
| Platform | Organisatie | ✅ Machtigingensets en groepen machtigingensets worden gebruikt om toegang tot metagegevens te bepalen |
| Platform | Organisatie | ✅ Machtigingensets en groepen machtigingensets zijn afgestemd op bedrijfsmogelijkheden |
| Platform | Organisatie | ✅ Een unieke API only integratie gebruiker is geconfigureerd voor elke integratie |
| Platform | Organisatie | ✅ Profielen worden minimaal gebruikt en alleen om inlog-IP-bereiken en inloguren te controleren |
| Platform | Organisatie | ✅ Machtigingen toegewezen aan gebruikers volgen definities van beveiligingsmatrix |
Lees meer over Vertrouwd op Architectuur → Veilig → Organisatiebeveiliging → Authenticatie
| Waar zoeken? Productgebied | Locatie | Wat te vermijden? Anti-patroon |
|---|---|
| Platform | Apex | ⚠️ Gebruikersnamen en wachtwoorden worden weergegeven in code |
| Platform | Apex | ⚠️ Als er aangepaste inlogstromen bestaan, is er geen logica om beveiliging op sessieniveau toe te wijzen |
| Platform | Apex | ⚠️ Authenticatie wordt ad hoc afgehandeld |
| Platform | Aura | ⚠️ Authenticatie wordt ad hoc afgehandeld |
| Platform | Aura | ⚠️ Gebruikersnamen en wachtwoorden worden weergegeven in code |
| Platform | Zakelijk | ⚠️ Er bestaan geen SLA's en vereisten voor gebruikersprofielen en het verwijderen van voorzieningen |
| Platform | Documentatie | ⚠️ Omvat geen beveiligingsidentiteiten |
| Platform | Documentatie | ⚠️ Beveiligingsmatrix heeft geen duidelijke toewijzingen voor beveiligingsidentiteiten en toegestane authenticatieschema's |
| Platform | Lightning webcomponenten (LWC) | ⚠️ Authenticatie wordt ad hoc afgehandeld |
| Platform | Lightning webcomponenten (LWC) | ⚠️ Gebruikersnamen en wachtwoorden worden weergegeven in code |
| Platform | Organisatie | ⚠️ API-toegangscontrole is niet ingeschakeld |
| Platform | Organisatie | ⚠️ Als gebruikers Salesforce openen van achter een firewall, gebruikt de firewall hard-coded IP-adressen om communicatie naar/van Salesforce te beveiligen |
| Platform | Organisatie | ⚠️ De relatie tussen gebruikers en entiteiten die inloggen bij Salesforce is niet 1:1 (er zijn gedeelde gebruikersaccounts) |
| Platform | Organisatie | ⚠️ Als SSO is ingeschakeld, hebben geen goedgekeurde beheerders directe inlogtoegang |
| Platform | Organisatie | ⚠️ Inlogconfiguraties komen niet overeen met de Salesforce MFA-controle |
| Platform | Organisatie | ⚠️ Verouderde benoemde gegevens worden gebruikt voor authenticatie bij externe systemen Verouderde benoemde gegevens gebruiken om de URL van een eindpunt van een aanroep en de vereiste authenticatieparameters ervan op te geven |
Lees meer over Goed Vertrouwd → Veilig → Organisatorische beveiliging → Autorisatie
| Waar zoeken? Productgebied | Locatie | Wat te vermijden? Anti-patroon |
|---|---|
| Einstein | Bots | ⚠️ Einstein Bots gebruiken de Basis Chatbot-gebruiker of een "generieke" botgebruiker In de sectie Einstein Bot-samensteller-overzicht van een botconfiguratie is de geselecteerde Bot-gebruiker de Basis Chatbot-gebruiker of een "generieke" Aangepaste Chatbot-gebruiker die wordt gedeeld door bots die voor verschillende bedrijfsdoeleinden worden gebruikt |
| Platform | Apex | ⚠️ DML, Database Class-methoden, SOQL en SOSL worden uitgevoerd in de standaard systeemmodus |
| Platform | Apex | ⚠️ Databasebewerkingen voeren toegangscontroles niet op de juiste manier uit SOQL-query's gebruiken uitsluitend WITH SECURITY_ENFORCED voor toegangsbeperkingen |
| Platform | Apex | ⚠️ Databasebewerkingen voeren toegangscontroles niet op de juiste manier uit DML- of Databaseklasse-methoden gebruiken uitsluitend isAccessible, isCreateable, isUpdateable en/of isDeletable voor toegang op sObject- en veldniveau |
| Platform | Ontwerpstandaarden | ⚠️ Gebruikscases voor het verlenen van verhoogde machtigingen worden niet duidelijk vermeld, waaronder: - Alle gegevens wijzigen - Alle gegevens weergeven |
| Platform | Documentatie | ⚠️ Vermeldt niet duidelijk machtigingen voor metagegevens en toegewezen identiteiten |
| Platform | Documentatie | ⚠️ Documentatie omvat geen beveiligingsmatrix |
| Platform | Organisatie | ⚠️ Machtigingen die aan gebruikers zijn toegewezen, volgen geen definities van beveiligingsmatrixen |
| Platform | Organisatie | ⚠️ Profielen bevatten toegangscontroles voor metagegevens |
| Platform | Organisatie | ⚠️ Machtigingensets worden ad hoc geconfigureerd |
| Platform | Organisatie | ⚠️ Groepen machtigingensets zijn niet geconfigureerd om toegang toe te staan op basis van bedrijfsmogelijkheden |
| Platform | Organisatie | ⚠️ API Only-gebruikers zijn niet geconfigureerd of worden gedeeld binnen meer dan één integratie |
| Platform | Organisatie | ⚠️ Machtigingensets zijn redundant of zijn zwaar gedupliceerd; het is moeilijk om duidelijke functionele logica en verschillen tussen sets te begrijpen |