Skip to main content
Build the future with Agentforce at TDX in San Francisco or on Salesforce+ on March 5–6. Register now.

Ausführen einer Integritätsprüfung

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Erläutern, wie eine Integritätsprüfung die Sicherheit Ihrer Organisation gewährleisten kann
  • Verbessern der Sicherheit von Anwendungen, die in Ihrer Salesforce-Organisation ausgeführt werden, mithilfe von Konfigurationen der Integritätsprüfung

Sicherheit der Salesforce-Plattform und benutzerdefinierte Anwendungen

Wenn Sie benutzerdefinierte Anwendungen zur Ausführung , in Ihrer Salesforce-Organisation erstellen, müssen Sie nicht nur die Anwendungen selbst absichern, sondern auch dafür sorgen, dass Ihre Salesforce-Instanz abgesichert ist. Da die meisten benutzerdefinierten Anwendungen geschäftsspezifisch sind, sind die Anwendungen, die Sie erstellen, wahrscheinlich spezifisch für Ihre Salesforce-Organisation.

Salesforce ist ständig bestrebt, seine Plattform so sicher wie möglich zu gestalten, und wir betrachten die Sicherheit der von Ihnen entwickelten Anwendungen als unsere gemeinsame Verantwortung. In diesem Zusammenhang stellen wir Ihnen einen Teil der Sicherheitskontrolle bereit, damit Sie die Geschäftsanforderungen Ihres Unternehmens flexibel erfüllen können.

Mit den Salesforce-Sicherheitsfunktionen ermöglichen Sie Ihren Benutzern, ihre Aufgaben sicher und effizient zu erledigen. In diesem Modul werden zwei wichtige Möglichkeiten zur Gewährleistung der Sicherheit Ihrer Salesforce-Organisation bei der Entwicklung und Ausführung benutzerdefinierter Anwendungen behandelt. Lassen Sie uns mit der Integritätsprüfung beginnen.

“”

Was bedeutet Integritätsprüfung?

"Integritätsprüfung" ist ein Dashboard, auf dem Sie sehen können, wie genau die Sicherheitseinstellungen Ihrer Organisation mit den von Salesforce empfohlenen Einstellungen übereinstimmen. Es zeigt einen Punktwert von 0-100 an, wobei 100 für die sicherste Konfigurationseinstellung steht. Auf diesem einseitigen Dashboard können Sie die Zuverlässigkeit der in Ihre Organisation integrierten Sicherheitsmechanismen anpassen und anfällige Einstellungen mit nur einem Klick korrigieren. Alle Ihre Sicherheitseinstellungen sind auf einer einzelnen Seite verfügbar, sodass Sie sich schnell einen Überblick über die globale Sicherheit Ihrer Organisation verschaffen können. Ein Gesamtwert gibt darüber Aufschluss, inwieweit Ihre Organisation den von Salesforce empfohlenen Standard erfüllt.

Gründe für die Integritätsprüfung

Die Integritätsprüfung kann inaktive oder inkorrekt konfigurierte Sicherheitsmechanismen in den Sicherheitseinstellungen Ihrer Organisation offenlegen. Anhand dieser Informationen können Sie dann die Sicherheit Ihrer Organisation beim Bereitstellen benutzerdefinierter Anwendungen verbessern. Die Nutzung dieser integrierten Funktion ist wichtig, denn jedes Mal, wenn Sie eine benutzerdefinierte Anwendung erstellen und bereitstellen, beeinflusst dies die Sicherheit Ihrer Organisation als Ganzes.

Die meisten Anwendungen, die auf der Salesforce-Plattform erstellt werden, werden in der Organisation des Inhabers bereitgestellt. Das bedeutet, dass die Ausführung Ihres benutzerdefinierten Codes davon abhängt, wie Sie die Sicherheitseinstellungen in Ihrer Organisation konfigurieren.

Schützen von Salesforce-Anwendungen

Das Aktivieren der richtigen Sicherheitsberechtigungen ist der Schlüssel zum Sicherstellen, dass Ihre Anwendungen nach der Bereitstellung in Salesforce sicher funktionieren. Lightning-Komponenten lassen sich mithilfe zweier Programmiermodelle entwickeln: "Lightning-Webkomponenten" und dem ursprünglichen Modell "Aura-Komponenten". Salesforce rückt jedoch generell von Aura-Komponenten ab und befürwortet stattdessen Lightning-Webkomponenten.

Lightning-Webkomponenten sind benutzerdefinierte HTML-Elemente, die mithilfe von HTML und JavaScript erstellt werden. Lightning- und Aura-Komponenten können auf einer Seite nebeneinander vorhanden sein und interagieren. Administratoren und Endbenutzern werden beide als Lightning-Komponenten angezeigt. Lightning-Webkomponenten befolgen die wichtigsten Standards für Webkomponenten und bieten nur das Nötigste, um in von Salesforce unterstützten Browsern einwandfrei zu funktionieren. Da Lightning-Webkomponenten auf Code basieren, der nativ in Browsern ausgeführt wird, sind sie schlank und liefern außergewöhnliche Leistung. Der Großteil des Codes, den Sie schreiben, folgt dem JavaScript- und HTML-Standard.

Hinweis

Da sich Lightning-Webkomponenten zum Standard für die Entwicklung von Webanwendungen entwickeln, werden in diesem Modul deren Sicherheitseinstellungen und -bedingungen behandelt.

Schützen der Sitzungseinstellungen für Lightning-Webkomponenten

Um eine Salesforce-gestützte Anwendung zu betreiben, benötigen Sie in der Regel Folgendes:

  1. Eine Salesforce-Organisation
  2. Browserseitigen Code in Lightning-Webkomponenten
  3. Serverseitigen Code in Apex

Durch Aktivieren der entsprechenden Sicherheitsberechtigungen können Sie ändern, wie Ihre Anwendungen nach Bereitstellung in Salesforce betrieben werden. Für den Zugriff auf Sicherheitsberechtigungen wählen Sie "Setup | Security" (Setup | Sicherheit) oder "Setup" aus und suchen über das Suchfeld nach der gewünschten Einstellung. Die meisten Sicherheitseinstellungen haben einfache EIN-/AUS-Schalter. Wir empfehlen, diese Sicherheitseinstellungen zu aktivieren:

  • HttpOnly
  • User Certification (Benutzerzertifikat)
  • Clickjack Protection (Clickjack-Schutz)
  • HTTPS
  • Sitzungs-Timeout
  • Cross-Site Scripting (XSS) Protection (Schutz vor Cross-Site Scripting des Browsers)

HttpOnly-Attribut erforderlich

Durch Festlegen des HttpOnly-Attributs ändert sich die Kommunikation einer Anwendung mit dem Salesforce-Server, indem die Sicherheit jedes von der Anwendung gesendeten Cookies erhöht wird. Da HttpOnly verhindert, dass Cookies von JavaScript gelesen werden können, kann der Browser das Cookie zwar empfangen, ein im Browser ausgeführtes Skript kann jedoch nicht darauf zugreifen oder es ändern.

HttpOnly ist ein zusätzliches Flag, das im HTTP-Antwort-Header "Set-Cookie" enthalten ist. Durch Verwendung des Flags HttpOnly beim Generieren eines Cookies wird das Risiko gemindert, dass ein clientseitiges Skript auf das geschützte Cookie zugreift.

Benutzerzertifikate aktivieren

Mit dieser Einstellung legen Sie fest, dass die zertifikatsbasierte Authentifizierung PEM-codierte digitale X.509-Zertifikate verwendet, um einzelne Benutzer bei Ihrer Organisation zu authentifizieren.

Clickjack-Schutz aktivieren

Sie können den Clickjack-Schutz für eine Website auf eine der folgenden Ebenen festlegen.

  • Framing für alle Seiten zulassen (kein Schutz)
  • Framing nur für denselben Ursprung zulassen (empfohlen)
  • Framing für keine Seite zulassen (höchster Schutz)

Salesforce-Communities weisen zwei Bestandteile für den Clickjack-Schutz auf. Wir empfehlen, beide auf dieselbe Ebene festzulegen.

  • Communities-Site von Force.com (wird auf der Detailseite der Force.com-Site festgelegt)
  • Communities-Site von Site.com (wird auf der Konfigurationsseite von Site.com festgelegt)

HTTPS-Verbindung anfordern

Diese Einstellung muss an zwei Stellen aktiviert werden.

  • Aktivieren Sie "HSTS für Sites und Communities" in "Sitzungseinstellungen".
  • Aktivieren Sie "Sichere Verbindungen (HTTPS) erforderlich" in den Community- oder Salesforce-Site-Sicherheitseinstellungen.

Sitzungs-Timeout festlegen

Es empfiehlt sich, einen kurzen Timeout-Zeitraum festzulegen, wenn Ihre Organisation über sensible Daten verfügt und Sie hohe Sicherheit erzwingen möchten.

Sie können die folgenden Werte festlegen:

  • Timeout-Wert
  • Abmeldung bei Sitzungs-Timeout erzwingen
  • Popup "Warnung bei Timeout" deaktivieren

Schutz vor Cross-Site Scripting des Browsers aktivieren

Aktivieren Sie die Einstellung für den Cross-Site-Scripting-Schutz, um sich vor reflektierten Cross-Site-Scripting-Angriffen zu schützen. Wenn ein reflektierter Cross-Site-Scripting-Angriff erkannt wird, zeigt der Browser eine leere Seite ohne Inhalt an. Wenn kein Inhalt vorhanden ist, können Skripts nicht zum Einschleusen von Angriffen verwendet werden.

Nun wissen Sie, wie Sie Ihre Organisation mit den integrierten Funktionen von Lightning-Webkomponenten schützen können. In der nächsten Lektion geht es darum, wie Shield Ihnen hilft, Ihre Anwendungen zu schützen.

Ressourcen

Teilen Sie Ihr Trailhead-Feedback über die Salesforce-Hilfe.

Wir würden uns sehr freuen, von Ihren Erfahrungen mit Trailhead zu hören: Sie können jetzt jederzeit über die Salesforce-Hilfe auf das neue Feedback-Formular zugreifen.

Weitere Infos Weiter zu "Feedback teilen"