此文字已使用 Salesforce 的自動翻譯系統進行翻譯。參閱我們的 調查以提供此內容的回饋意見,並告訴我們您接下來想要查看的內容。
安全 - 組織安全性
| 要在哪裡尋找? 產品區域 | 位置 | 優良的外觀為何? 模式 |
|---|---|
| 平台 | Apex | ✅ 執行驗證的方法會使用已命名認證來處理使用者名稱/密碼流程 |
| 平台 | Apex | ✅ 沒有使用者名稱或密碼會以可讀的程式碼顯示 (沒有硬式編碼值或字串) |
| 平台 | Apex | ✅ 如果存在自訂登入流程,則所有相關的自訂 Apex 都會使用適當的 SessionManagement 方法 |
| 平台 | Aura | ✅ 沒有使用者名稱或密碼會以可讀的程式碼顯示 (沒有硬式編碼值或字串) |
| 平台 | Aura | ✅ 執行驗證的方法會使用已命名認證來處理使用者名稱/密碼流程 |
| 平台 | 文件 | ✅ 已批准的安全性角色已清楚定義並列出 |
| 平台 | 文件 | ✅ 在安全性矩陣中存在的安全性角色與允許的驗證結構描述 (UI、API) 之間的對應 |
| 平台 | Lightning Web 元件 (LWC) | ✅ 執行驗證的方法會使用已命名認證來處理使用者名稱/密碼流程 |
| 平台 | Lightning Web 元件 (LWC) | ✅ 沒有使用者名稱或密碼會以可讀的程式碼顯示 (沒有硬式編碼值或字串) |
| 平台 | 組織 | ✅ API 存取控制可防止使用者透過未經授權的連線應用程式進行驗證 |
| 平台 | 組織 | ✅ 登入 Salesforce 的使用者與實體之間的關係為 1:1 (無共用使用者) |
| 平台 | 組織 | ✅ 登入組態符合 Salesforce MFA 檢查 |
| 平台 | 組織 | ✅ 如果 SSO 已啟用,則批准的管理員使用者擁有直接登入存取權 |
| 平台 | 組織 | ✅ 登入鑑識會在必須儲存超過 6 個月的登入歷程記錄時使用 登入鑑識會在需要儲存 6 個月至 10 年時使用登入鑑識 |
深入瞭解結構正確的 信任 → 安全 → 組織安全性 → 授權
| 要在哪裡尋找? 產品區域 | 位置 | 優良的外觀為何? 模式 |
|---|---|
| Einstein | 機器人 | ✅ 為每個業務使用個案設定唯一的機器人使用者 在機器人組態的「Einstein 機器人產生器概觀」區段中,所選的機器人使用者僅會依照最低權限原則,提供執行機器人所設計為達成的業務目的所需的最低存取權量 |
| 平台 | Apex | ✅ 資料庫作業會適當執行欄位級和物件級存取檢查 DML 和資料庫 DML 陳述式宣告資料作業的使用者或系統模式及/或 DML 和資料庫 DML 陳述式在資料作業之前使用 stripInaccessible 方法 |
| 平台 | Apex | ✅ 資料庫作業會適當執行欄位級和物件級存取檢查 SOQL 和 SOSL 陳述式使用 WITH USER_MODE 和 WITH SYSTEM_MODE 關鍵字及/或 stripInaccessible 方法用於篩選查詢和子查詢結果 |
| 平台 | Apex | ✅ 資料庫作業會適當執行欄位級和物件級存取檢查,且 sObject 描述結果方法 (亦即 isAccessible、isCreateable、isUpdateable 和/或 isDeletable) 會很少使用 |
| 平台 | 設計標準 | ✅ 會清楚列出授與增強權限的使用個案,其中包括: - 修改所有資料權限 - 檢視所有資料權限 |
| 平台 | 文件 | ✅ 擁有 Salesforce 存取權的每個使用者和系統都會對應至安全性矩陣中的一或多個角色 |
| 平台 | 文件 | ✅ 安全性矩陣會清楚列出中繼資料權限和指派的使用者角色 |
| 平台 | 組織 | ✅ 權限集和權限集群組用於控制中繼資料的存取權 |
| 平台 | 組織 | ✅ 符合業務功能的權限集和權限集群組 |
| 平台 | 組織 | ✅ 針對每個整合設定唯一的 API 僅限整合使用者 |
| 平台 | 組織 | ✅ 設定檔最少使用,僅用於控制登入 IP 範圍和登入時間 |
| 平台 | 組織 | ✅ 指派給使用者遵循安全性矩陣定義的權限 |
| 要在哪裡尋找? 產品區域 | 位置 | 要避免什麼? Anti-Pattern |
|---|---|
| 平台 | Apex | ⚡️ 使用者名稱和密碼會顯示在程式碼中 |
| 平台 | Apex | ⚡️ 如果存在自訂登入流程,則沒有指派工作階段層級安全性的邏輯 |
| 平台 | Apex | ⚡️ 驗證為臨時處理 |
| 平台 | Aura | ⚡️ 驗證為臨時處理 |
| 平台 | Aura | ⚡️ 使用者名稱和密碼會顯示在程式碼中 |
| 平台 | 公司 | ⚡️ 不存在使用者提供和取消佈建的 SLA 與需求 |
| 平台 | 文件 | ⚡️ 不包含安全性角色 |
| 平台 | 文件 | ⚡️ 安全性矩陣沒有安全性角色和允許驗證方式的明確對應 |
| 平台 | Lightning Web 元件 (LWC) | ⚡️ 驗證為臨時處理 |
| 平台 | Lightning Web 元件 (LWC) | ⚡️ 使用者名稱和密碼會顯示在程式碼中 |
| 平台 | 組織 | ⚡️ API 存取控制未啟用 |
| 平台 | 組織 | ⚡️ 如果使用者從防火牆後面存取 Salesforce,防火牆會使用硬式編碼的 IP 位址來保護對 Salesforce 的通訊。 |
| 平台 | 組織 | ⚡️ 登入 Salesforce 的使用者與實體之間的關係不是 1:1 (共有使用者帳戶) |
| 平台 | 組織 | ⚡️ 如果已啟用 SSO,則沒有批准的管理員使用者擁有直接登入存取權 |
| 平台 | 組織 | ⚡️ 登入組態不符合 Salesforce MFA 檢查 |
| 平台 | 組織 | ⚡️ 舊版已命名認證用於向外部系統驗證 使用舊版已命名認證指定呼叫端點的 URL 及其必要驗證參數 |
深入瞭解結構正確的 信任 → 安全 → 組織安全性 → 授權
| 要在哪裡尋找? 產品區域 | 位置 | 要避免什麼? Anti-Pattern |
|---|---|
| Einstein | 機器人 | ⚡️ Einstein 機器人使用「基本聊天機器人使用者」或「一般」機器人使用者 在機器人組態的「Einstein 機器人產生器概觀」區段中,選取的「機器人使用者」為「基本聊天機器人使用者」或「一般」自訂聊天機器人使用者,此使用者已在不同業務用途的機器人之間共用 |
| 平台 | Apex | ⚡️ DML、資料庫類別方法、SOQL 和 SOSL 會在預設系統模式中執行 |
| 平台 | Apex | ⚡️ 資料庫作業不會執行適當的存取檢查 SOQL 查詢僅使用 WITH SECURITY_ENFORCED 關鍵字進行存取限制 |
| 平台 | Apex | ⚡️ 資料庫作業無法適當執行存取檢查 DML 或資料庫類別方法,僅針對 sObject 和欄位級存取權使用 isAccessible、isCreateable、isUpdateable 和/或 isDeletable 檢查 |
| 平台 | 設計標準 | ⚡️ 未清楚列出授與增強權限的使用個案 包括: - 修改所有資料權限 - 檢視所有資料權限 |
| 平台 | 文件 | ⚡️ 未清楚列出中繼資料權限與指派的角色 |
| 平台 | 文件 | ⚡️ 文件不包含安全性矩陣 |
| 平台 | 組織 | ⚡️ 指派給使用者的權限不會遵循安全性矩陣定義 |
| 平台 | 組織 | ⚡️ 設定檔包含中繼資料的存取控制 |
| 平台 | 組織 | ⚡️ 權限集已特殊設定 |
| 平台 | 組織 | ⚡️ 權限集群組未設定為允許根據業務功能存取 |
| 平台 | 組織 | ⚡️ 僅 API 使用者未設定或在多個整合之間共用 |
| 平台 | 組織 | ⚡️ 權限集是冗餘的或重複的;難以瞭解清楚的功能邏輯和設定之間的差異 |