Безопасность организации
Узнайте больше о надежных → Безопасных → Безопасность организации → Проверка подлинности
| Где искать? Область продукта | Расположение | Как выглядит добро? Схема |
|---|---|
| Platform | Apex | ✅ Методы, выполняющие проверку подлинности, используют именованные регистрационные данные для обработки потоков имени пользователя/пароля |
| Platform | Apex | ✅ Имена пользователей или пароли не отображаются в коде в читаемых форматах (без жестко запрограммированных значений или строк) |
| Platform | Apex | ✅ При наличии настраиваемых потоков входа все связанные настраиваемые Apex используют соответствующие методы SessionManagement |
| Платформа | Aura | ✅ Имена пользователей или пароли не отображаются в коде в читаемых форматах (без жестко запрограммированных значений или строк) |
| Платформа | Aura | ✅ Методы, выполняющие проверку подлинности, используют именованные регистрационные данные для обработки потоков имени пользователя/пароля |
| Платформа | Документация | ✅ Четко определены и перечислены утвержденные лица, занимающиеся вопросами безопасности |
| Платформа | Документация | ✅ Соотнесение между персонами безопасности и разрешенными схемами проверки подлинности (пользовательский интерфейс, API) существует в матрице безопасности |
| Platform | Веб-компоненты Lightning (LWC) | ✅ Методы, выполняющие проверку подлинности, используют именованные регистрационные данные для обработки потоков имени пользователя/пароля |
| Platform | Веб-компоненты Lightning (LWC) | ✅ Имена пользователей или пароли не отображаются в коде в читаемых форматах (без жестко запрограммированных значений или строк) |
| Платформа | Организация | ✅ Контроль доступа API предотвращает авторизацию пользователей посредством несанкционированного связанного приложения |
| Платформа | Организация | ✅ Взаимосвязь между пользователями и объектами, входящими в Salesforce, 1:1 (без общедоступных пользователей) |
| Платформа | Организация | ✅ Конфигурации входа соответствуют проверке Salesforce MFA |
| Платформа | Организация | ✅ Если единый вход включен, утвержденные пользователи-администраторы имеют прямой доступ входа |
| Платформа | Организация | ✅ Login Forensics используется, когда журнал входа должен храниться более 6 месяцев Используйте Login Forensics, когда журнал входа должен храниться 6 месяцев-10 лет |
Узнайте больше о надежных → Безопасных → Безопасность организации → Авторизация
| Где искать? Область продукта | Расположение | Как выглядит добро? Схема |
|---|---|
| Einstein | Боты | ✅ Уникальный пользователь бота настроен для каждого сценария бизнес-использования В разделе «Общие сведения о конструкторе ботов Einstein» конфигурации бота выбранный пользователь бота предоставляет только минимальный объем доступа, необходимый для выполнения бизнес-цели, для достижения которой предназначен бот, следуя принципу наименьших привилегий |
| Platform | Apex | ✅ Операции БД выполняют проверку доступа на уровне поля и объекта надлежащим образом операторы DML и DML базы данных объявляют режим пользователя или системы для операций над данными И/ИЛИ операторы DML и DML базы данных используют методы stripInaccessible перед операциями над данными |
| Platform | Apex | ✅ Операции БД выполняют проверку доступа на уровне поля и объекта надлежащим образом операторы SOQL и SOSL используют ключевые слова WITH USER_MODE и WITH SYSTEM_MODE И/ИЛИ методы stripInaccessible используются для фильтрации результатов запросов и подзапросов |
| Platform | Apex | ✅ Операции базы данных выполняют проверку доступа на уровне поля и объекта надлежащим образом sМетоды описания результатов объекта (т.е. isAccessible, isCreateable, isUpdateable и/или isDeletable) используются экономно |
| Платформа | Стандарты проектирования | ✅ Сценарии использования для предоставления повышенных привилегий четко указаны, включительно с: - Изменение всех полномочий данных - Просмотр всех полномочий данных |
| Платформа | Документация | ✅ Каждый пользователь и система, имеющие доступ к Salesforce, соотносят одну или несколько персон в матрице безопасности |
| Платформа | Документация | ✅ Матрица безопасности четко содержит полномочия метаданных и назначенные персоны пользователей |
| Платформа | Организация | ✅ Наборы полномочий и группы наборов полномочий используются для управления доступом к метаданным |
| Платформа | Организация | ✅ Наборы полномочий и группы наборов полномочий соответствуют бизнес-возможностям |
| Платформа | Организация | ✅ Уникальный пользователь интеграции только API настроен для каждой интеграции |
| Платформа | Организация | ✅ Профили используются минимально и только для управления диапазонами IP-адресов входа и часами входа |
| Платформа | Организация | ✅ Полномочия, назначенные пользователям, соответствуют определениям матрицы безопасности |
Узнайте больше о надежных → Безопасных → Безопасность организации → Проверка подлинности
| Где искать? Область продукта | Расположение | Чего избегать? Антишаблон |
|---|---|
| Platform | Apex | ⚠️ Имена пользователей и пароли отображаются в коде |
| Platform | Apex | ⚠️ При наличии настраиваемых потоков входа нет логики для назначения безопасности сеанса |
| Platform | Apex | ⚠️ Проверка подлинности обрабатывается ситуативно |
| Платформа | Aura | ⚠️ Проверка подлинности обрабатывается ситуативно |
| Платформа | Aura | ⚠️ Имена пользователей и пароли отображаются в коде |
| Платформа | Бизнес | ⚠️ Инициализация и отмена предоставления пользователям соглашений об уровне обслуживания и требований отсутствуют |
| Платформа | Документация | ⚠️ Не содержит охранных персон |
| Платформа | Документация | ⚠️ Матрица безопасности не содержит четких соотнесений для персон безопасности и разрешенных схем проверки подлинности |
| Platform | Веб-компоненты Lightning (LWC) | ⚠️ Проверка подлинности обрабатывается ситуативно |
| Platform | Веб-компоненты Lightning (LWC) | ⚠️ Имена пользователей и пароли отображаются в коде |
| Платформа | Организация | ⚠️ Управление доступом к API не включено |
| Платформа | Организация | ⚠️ Если пользователи заходят в Salesforce из-за брандмауэра, брандмауэр использует жестко запрограммированные IP-адреса для защиты коммуникаций с Salesforce |
| Платформа | Организация | ⚠️ Взаимосвязь между пользователями и объектами, входящими в Salesforce, не 1:1 (есть общедоступные организации пользователей) |
| Платформа | Организация | ⚠️ Если единый вход включен, ни один авторизованный пользователь-администратор не имеет прямого доступа |
| Платформа | Организация | ⚠️ Конфигурации входа не соответствуют проверке Salesforce MFA |
| Платформа | Организация | ⚠️ Устаревшие именованные регистрационные данные используются для проверки подлинности во внешних системах С помощью устаревших именованных регистрационных данных для указания URL-адреса конечной точки выноски и ее обязательных параметров проверки подлинности |
Узнайте больше о надежных → Безопасных → Безопасность организации → Авторизация
| Где искать? Область продукта | Расположение | Чего избегать? Антишаблон |
|---|---|
| Einstein | Боты | ⚠️ Боты Einstein используют базового пользователя чатбота или «общего» пользователя бота В разделе «Общие сведения о конструкторе ботов Einstein» конфигурации бота выбран пользователь бота «Базовый пользователь чатбота» или «общего» настраиваемого пользователя чатбота, который предоставляется в общий доступ в ботах, используемых для разных бизнес-целей |
| Platform | Apex | ⚠️ DML, методы класса базы данных, SOQL и SOSL выполняются в системном режиме по умолчанию |
| Platform | Apex | ⚠️ Операции базы данных не выполняют проверку доступа надлежащим образом Запросы SOQL используют исключительно ключевые слова WITH SECURITY_ENFORCED для ограничений доступа |
| Platform | Apex | ⚠️ Операции базы данных не выполняют проверку доступа надлежащим образом методы DML или класса базы данных используют только проверки isAccessible, isCreateable, isUpdateable и/или isDeletable для доступа sObject и уровня поля |
| Платформа | Стандарты проектирования | ⚠️ Сценарии использования для предоставления повышенных полномочий не указаны четко, включая: - Изменение всех полномочий данных - Просмотр всех полномочий данных |
| Платформа | Документация | ⚠️ Не содержит четкого списка полномочий метаданных и назначенных персон |
| Платформа | Документация | ⚠️ Документация не содержит матрицы безопасности |
| Платформа | Организация | ⚠️ Полномочия, назначенные пользователям, не соответствуют определениям матрицы безопасности |
| Платформа | Организация | ⚠️ Профили содержат элементы управления доступом к метаданным |
| Платформа | Организация | ⚠️ Наборы полномочий настроены ситуативно |
| Платформа | Организация | ⚠️ Группы наборов полномочий не настроены на предоставление доступа на основе бизнес-возможностей |
| Платформа | Организация | ⚠️ Пользователи только API не настроены или общедоступны в нескольких интеграциях |
| Платформа | Организация | ⚠️ Наборы полномочий избыточны или сильно дублируются; трудно понять четкую функциональную логику и различия между наборами |