Skip to main content

Ausführen einer Integritätsprüfung

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Erläutern, wie eine Integritätsprüfung die Sicherheit Ihrer Organisation gewährleisten kann
  • Verbessern der Sicherheit von Anwendungen, die in Ihrer Salesforce-Organisation ausgeführt werden, mithilfe von Konfigurationen der Integritätsprüfung

Sicherheit der Salesforce-Plattform und benutzerdefinierte Anwendungen

Wenn Sie benutzerdefinierte Anwendungen zur Ausführung in Ihrer Salesforce-Organisation erstellen, müssen Sie nicht nur die Anwendungen selbst absichern, sondern auch dafür sorgen, dass Ihre Salesforce-Instanz abgesichert ist. Da die meisten benutzerdefinierten Anwendungen geschäftsspezifisch sind, ist es wahrscheinlich, dass die Anwendungen, die Sie erstellen, spezifisch für Ihre Salesforce-Organisation sind. 

Salesforce ist ständig bestrebt, seine Plattform so sicher wie möglich zu gestalten, und wir betrachten die Sicherheit der von Ihnen entwickelten Anwendungen als unsere gemeinsame Verantwortung. Im Rahmen dessen überlassen wir Ihnen einen Teil der Sicherheitskontrolle, damit Sie die Geschäftsanforderungen Ihres Unternehmens flexibel erfüllen können. 

Mit den Salesforce-Sicherheitsfunktionen ermöglichen Sie Ihren Benutzern, ihre Aufgaben sicher und effizient zu erledigen. In diesem Modul werden zwei wichtige Möglichkeiten zur Gewährleistung der Sicherheit Ihrer Salesforce-Organisation bei der Entwicklung und Ausführung benutzerdefinierter Anwendungen behandelt. Lassen Sie uns mit der Integritätsprüfung beginnen.

Eine Frau in Krankenschwesterntracht hält ein Stethoskop auf einen an die Wand projizierten Punktwert der Integritätsprüfung. Der Punktwert 87 ist im Uhrzeigersinn von Symbolen umgeben, die Salesforce Shield, einen verschlossenen Schuppen, den Globus, ein Schild und ein Handy sowie die Cloud darstellen.

Was bedeutet Integritätsprüfung?

"Integritätsprüfung" ist ein Dashboard, auf dem Sie sehen können, wie genau die Sicherheitseinstellungen Ihrer Organisation mit den von Salesforce empfohlenen Einstellungen übereinstimmen. Ein Punktwert von 0-100 wird angezeigt, wobei 100 die sicherste Konfigurationseinstellung ist. Auf diesem einseitigen Dashboard können Sie die Zuverlässigkeit der in Ihre Organisation integrierten Sicherheitsmechanismen anpassen und anfällige Einstellungen mit nur einem Klick korrigieren. Alle Ihre Sicherheitseinstellungen sind auf einer einzelnen Seite verfügbar, sodass Sie sich schnell einen Überblick über die globale Sicherheit Ihrer Organisation verschaffen können. Ein Gesamtwert gibt darüber Aufschluss, inwieweit Ihre Organisation den von Salesforce empfohlenen Standard erfüllt.

Gründe für die Integritätsprüfung

Die Integritätsprüfung kann inaktive Sicherheitsmechanismen verfügbar machen, die in den Sicherheitseinstellungen Ihrer Organisation vorhanden sind. Sie können diese Informationen nutzen, um die Sicherheit Ihrer Organisation bei Bereitstellung benutzerdefinierter Anwendungen zu verbessern. Diese Funktion ist wichtig, denn jedes Mal, wenn Sie eine benutzerdefinierte Anwendung erstellen und bereitstellen, beeinflusst dies die Sicherheit Ihrer Organisation als Ganzes. Die meisten Anwendungen, die auf der Salesforce-Plattform erstellt werden, werden in der Organisation des Inhabers bereitgestellt. Das bedeutet, dass die Ausführung Ihres benutzerdefinierten Codes davon abhängt, wie Sie die Sicherheitseinstellungen in Ihrer Organisation festgelegt haben. 

Schützen von Salesforce-Anwendungen

Das Aktivieren der richtigen Sicherheitsberechtigungen ist der Schlüssel zum Sicherstellen, dass Ihre Anwendungen nach der Bereitstellung in Salesforce sicher funktionieren. Lightning-Komponenten lassen sich mithilfe zweier Programmiermodelle entwickeln: "Lightning-Webkomponenten" und dem ursprünglichen Modell "Aura-Komponenten". Generell rückt Salesforce jedoch von Aura-Komponenten ab und setzt stattdessen auf Lightning-Webkomponenten. 

Lightning-Webkomponenten sind benutzerdefinierte HTML-Elemente, die mithilfe von HTML und JavaScript erstellt werden. Lightning- und Aura-Komponenten können auf einer Seite nebeneinander vorhanden sein und interagieren. Administratoren und Endbenutzern werden beide als Lightning-Komponenten angezeigt. Lightning-Webkomponenten befolgen die wichtigsten Standards für Webkomponenten und bieten nur das Nötigste, um in den von Salesforce unterstützten Browsern einwandfrei zu funktionieren. Da Lightning-Webkomponenten auf Code basieren, der nativ in Browsern ausgeführt wird, sind sie schlank und liefern außergewöhnliche Leistung. Der Großteil des Codes, den Sie schreiben, folgt dem JavaScript- und HTML-Standard.

Hinweis

Da sich Lightning-Webkomponenten zum Standard für die Entwicklung von Webanwendungen entwickeln, werden in diesem Modul deren Sicherheitseinstellungen und -bedingungen behandelt. 

Schützen der Sitzungseinstellungen für Lightning-Webkomponenten

Um eine Salesforce-gestützte Anwendung zu betreiben, benötigen Sie in der Regel Folgendes: 

  1. Eine Salesforce-Organisation
  2. Browserseitigen Code in Lightning-Webkomponenten
  3. Serverseitigen Code in Apex

Durch Aktivieren der entsprechenden Sicherheitsberechtigungen können Sie ändern, wie Ihre Anwendungen nach Bereitstellung in Salesforce betrieben werden. Für den Zugriff auf Sicherheitsberechtigungen rufen Sie Setup | Sicherheitseinstellungen oder Setup auf und suchen über das Suchfeld nach der gewünschten Einstellung. Die meisten Sicherheitseinstellungen haben einfache EIN-/AUS-Schalter. Wir empfehlen, die folgenden Sicherheitseinstellungen zu aktivieren.

HttpOnly-Attribut erforderlich

Durch Festlegen des HttpOnly-Attributs ändert sich die Kommunikation einer Anwendung mit dem Salesforce-Server, indem die Sicherheit jedes von der Anwendung gesendeten Cookies erhöht wird. Da HttpOnly verhindert, dass Cookies von JavaScript gelesen werden können, kann der Browser das Cookie zwar empfangen, es kann aber nicht im Browser verändert werden. 

HttpOnly ist ein zusätzliches Flag, das im HTTP-Antwort-Header "Set-Cookie" enthalten ist. Durch Verwendung des Flags HttpOnly beim Generieren eines Cookies wird das Risiko gemindert, dass ein clientseitiges Skript auf das geschützte Cookie zugreift.

Benutzerzertifikate aktivieren

Mit dieser Einstellung legen Sie fest, dass die zertifikatsbasierte Authentifizierung PEM-codierte digitale X.509-Zertifikate verwendet, um einzelne Benutzer bei Ihrer Organisation zu authentifizieren.

Clickjack-Schutz aktivieren

Sie können den Clickjack-Schutz für eine Website auf eine der folgenden Ebenen festlegen.

  • Framing für alle Seiten zulassen (kein Schutz)
  • Framing nur für denselben Ursprung zulassen (empfohlen)
  • Framing für keine Seite zulassen (höchster Schutz)

Salesforce-Communities weisen zwei Bestandteile für den Clickjack-Schutz auf. Wir empfehlen, beide auf dieselbe Ebene festzulegen.

  • Communities-Site von Force.com (wird auf der Detailseite der Force.com-Site festgelegt)
  • Communities-Site von Site.com (wird auf der Konfigurationsseite von Site.com festgelegt)

HTTPS-Verbindung anfordern

Diese Einstellung muss an zwei Stellen aktiviert werden. 

  • Aktivieren Sie "HSTS für Sites und Communities" in "Sitzungseinstellungen".
  • Aktivieren Sie "Sichere Verbindungen (HTTPS) erforderlich" in den Community- oder Salesforce-Site-Sicherheitseinstellungen.

Sitzungs-Timeout

Es empfiehlt sich, einen kurzen Timeout-Zeitraum festzulegen, wenn Ihre Organisation über sensible Daten verfügt und Sie hohe Sicherheit erzwingen möchten.

Sie können die folgenden Werte festlegen: 

  • Timeout-Wert
  • Abmeldung bei Sitzungs-Timeout erzwingen
  • Popup "Warnung bei Timeout" deaktivieren

Schutz vor Cross-Site Scripting des Browsers aktivieren

Aktivieren Sie die Einstellung für den Cross-Site-Scripting-Schutz, um sich vor reflektierten Cross-Site-Scripting-Angriffen zu schützen. Wenn ein reflektierter Cross-Site-Scripting-Angriff erkannt wird, zeigt der Browser eine leere Seite ohne Inhalt an. Wenn kein Inhalt vorhanden ist, können Skripts nicht zum Einschleusen von Angriffen verwendet werden. 

Nun wissen Sie, wie Sie Ihre Organisation mit den integrierten Funktionen von Lightning-Webkomponenten schützen können. In der nächsten Einheit erfahren Sie, wie Shield Ihnen hilft, Ihre Anwendungen zu schützen.

Ressourcen

Lernen Sie weiter kostenlos!
Registrieren Sie sich für einen Account, um fortzufahren.
Registrieren Anmelden
Was ist für Sie drin?
  • Holen Sie sich personalisierte Empfehlungen für Ihre Karriereplanung
  • Erproben Sie Ihre Fähigkeiten mithilfe praktischer Aufgaben und Quizze
  • Verfolgen Sie Ihre Fortschritte nach und teilen Sie sie mit Arbeitgebern
  • Nutzen Sie Mentoren und Karrierechancen
Vorerst überspringen