أمان Salesforce Connected App: هل منظمتك جاهزة؟

TL;DR: منذ أوائل سبتمبر 2025، بدأت Salesforce تقييد الوصول إلى Connected Apps غير المثبتة وإزالة OAuth 2.0 Device Flow من Data Loader. تتطلب هذه التحسينات الأمنية تحركا فوريا من admins لمنع تعطيل التكاملات الحالية.

قدمت Salesforce في سبتمبر تغييرات مهمة على Connected App security تغير هذا التوازن، ومن الضروري أن تستعد الآن.

لماذا هذا التغيير؟

في الأشهر الأخيرة، استهدفت موجة من voice-phishing (“vishing”) وهجمات social-engineering عملاء Salesforce. انتحل مهاجمون صفة موظفي IT help desk وخدعوا الموظفين لمنح OAuth access لتطبيقات ضارة، ثم استخدموا credentials لاستخراج بيانات العملاء.

شملت الضحايا البارزة Google، حيث سرق المهاجمون business contact details وsales notes، إضافة إلى Chanel وFarmers Insurance وعلامات LVMH مثل Louis Vuitton وDior وTiffany & Co. وفي قطاع الطيران، أعلنت Air France وKLM في أغسطس 2025 أن منصة customer-service خارجية مخترقة كشفت أسماء وعناوين بريد وأرقام هاتف وتفاصيل loyalty programme. 

توضح هذه الحوادث لماذا تشدد Salesforce السيطرة على connected apps غير المثبتة وتوقف OAuth Device Flow.

كمسؤولي Salesforce، نوازن بين سهولة الوصول والأمان. نريد أن يحصل المستخدمون على الأدوات التي يحتاجونها مع حماية مؤسساتنا من التهديدات.

ما الذي يتغير؟

1. حظر Connected Apps غير المثبتة افتراضيا

التغيير الرئيسي واضح لكنه مؤثر: لم تعد Connected Apps غير المثبتة متاحة لمعظم المستخدمين. إذا لم يكن التطبيق مثبتا رسميا في org لديك، فسيتم حظره.

هذا يعني:

• يُحظر المستخدمون الجدد بالكامل عند محاولة الوصول إلى Connected Apps غير المثبتة، ما لم تكن لديهم bypass permissions خاصة.
• يمكن للمستخدمين الحاليين الذين صرحوا لتطبيق سابقا الاستمرار في استخدامه، فقط إذا لم يعتمد على OAuth 2.0 Device Flow.
• كل التطبيقات غير المثبتة التي تستخدم OAuth 2.0 Device Flow تُحظر بالكامل، حتى للمستخدمين الذين صرحوا لها سابقا.

2. صلاحيات جديدة لتجاوز القيود

قدمت Salesforce طرقا جديدة للمستخدمين الموثوقين لتجاوز هذه القيود، لكن بمسؤولية إضافية:

• “Approve Uninstalled Connected Apps”، صلاحية جديدة في Summer '25 تسمح لمستخدمين محددين بالتصريح الذاتي للتطبيقات غير المثبتة.
• “Use Any API Client”، صلاحية أوسع موجودة سابقا توفر أيضا قدرات bypass.

تعتمد فعالية هذه الصلاحيات على إعدادات API Access Control في org لديك.

3. إزالة Data Loader OAuth 2.0 Device Flow

في 2 سبتمبر 2025، تمت إزالة خيار OAuth Device Flow لتطبيق Data Loader المثبت تلقائيا بالكامل. يجب على المستخدمين الآن التحول إلى password authentication أو OAuth Web Server Flow.

لماذا تجري Salesforce هذه التغييرات؟

الإجابة بسيطة: الأمان. استهدفت هجمات social engineering الأخيرة مستخدمي Salesforce، وخدعتهم لتصريح Connected Apps ضارة تتنكر كأدوات شرعية مثل Data Loader. نجحت هذه الهجمات لأنها استغلت الفجوة بين راحة المستخدم وسيطرة المؤسسة.

يوضح باحثو الأمن أن مجموعات مثل ShinyHunters/UNC6040 تستخدم social engineering عبر الهاتف لتجاوز multi-factor authentication وإقناع الموظفين بالموافقة على OAuth scopes. وبعد الحصول على الوصول، يستخرج المهاجمون customer-care records بهدوء ثم يستخدمون البيانات للابتزاز أو phishing إضافي.

كما أوضح تحليل Google، لم يستغل المهاجمون ثغرات في Salesforce نفسها، بل تلاعبوا بالمستخدمين لمنح الوصول لتطبيقات ضارة. من خلال نهج “الباب المغلق” افتراضيا، تجبر Salesforce المؤسسات على اتخاذ قرارات واعية حول التطبيقات التي يمكن للمستخدمين فتحها.

ما الذي يجب فعله الآن

1. راجع Connected Apps الحالية

إجراء فوري مطلوب: اذهب إلى Setup → Connected Apps OAuth Usage وراجع كل تطبيق مستخدم.

ابحث عن زر “Install” في عمود Actions. إذا رأيته، فهذا التطبيق غير مثبت ومتأثر بالقيود الجديدة.

عند المراجعة، انتبه إلى:

• تواريخ أول وآخر استخدام، هل التطبيق مستخدم فعلا أم قديم؟
• المستخدمون الذين يصلون إليه، هل يحتاجونه فعلا؟
• الموثوقية، هل تعرف التطبيق والناشر؟
• التكاملات الشرعية، مثل Power BI أو nonprofit apps أو حلول الشركاء التي قد تحتاج إلى تثبيت لتجنب التعطيل.

2. اتخذ قرارات التثبيت

لكل تطبيق غير مثبت تحدده:

• ثبّت التطبيقات الشرعية والمستخدمة فعلا من فريقك.
• احظر أي تطبيق لا تعرفه أو لا تثق به أو لا تحتاجه.
• وثّق مبرر العمل لكل تطبيق تبقيه، حتى تكون لديك audit trail واضحة.

حوكمة أقوى، خروقات أقل

راجع أو ثبت أو احظر التطبيقات بعملية approval واضحة. استخدم Serpent لتتبع الصلاحيات والحفاظ على أمان org دون إبطاء delivery.

جرّب العرض المجاني اعرف المزيد عن Serpent

3. امنح الصلاحيات الجديدة بحذر

امنح صلاحية “Approve Uninstalled Connected Apps” فقط عند الضرورة. المرشحون المناسبون قد يشملون:

• Administrators الذين يحتاجون لاختبار التطبيقات قبل تثبيتها على مستوى org.
• Developers الذين يبنون أو يصونون التكاملات.
• مستخدمين business محددين لديهم حاجة واضحة و وعي أمني مثبت.

⚠️ تذكر: هذه صلاحية شاملة. يستطيع مستخدموها تصريح أي Connected App غير مثبتة، فاختر بحكمة.

4. استعد لتغييرات Data Loader

إذا كان المستخدمون يعتمدون على Data Loader:

• نزّل أحدث نسخة قبل 2 سبتمبر 2025
• درّب المستخدمين على password authentication أو Web Server Flow
• تواصل مبكرا لمنع تعطيل workflows

4. استعد لتغييرات Data Loader

إذا كان المستخدمون يعتمدون على Data Loader:

• حدّث إلى أحدث نسخة بعد 2 سبتمبر 2025
• درّب المستخدمين على الانتقال من OAuth Device Flow إلى Password Authentication أو OAuth Web Server Flow
• اشرح التغيير بوضوح لمنع تعطيل workflows العادية.

5. عزز الحوكمة

استخدم هذا الانتقال كفرصة لرفع مستوى Connected App governance:

• راجع من لديه صلاحية تثبيت Connected Apps جديدة.
• راقب استخدام التطبيقات وتصريحات المستخدمين بانتظام.
• طبّق مبدأ least privilege عبر كل profiles وroles.
• اطلب API Access Control من Salesforce Account Executive إذا احتجت guardrails أشد.

تحقق من طلبات help desk وقلل third-party access. بدأت كثير من خروقات 2025 عندما انتحل المهاجمون دعم IT وأقنعوا موظفي service desk بمنح أو إعادة ضبط credentials. اطلب تحقق هوية صارما لكل إجراء service desk، وفعّل multi-factor authentication على كل الحسابات، وراجع scopes تطبيقات الطرف الثالث، واحذف التكاملات غير المستخدمة. راجع connected apps بانتظام واسحب tokens طويلة العمر لتقليل الأثر إذا تعرضت منصة طرف ثالث للاختراق.

ابق ممتثلا وجاهزا للإصدار

دع Tekunda تصمم استراتيجية DevOps تبدأ من الأمان ومصممة لإعداد Salesforce لديك، حتى تركز على قيمة الأعمال بينما نتولى governance.

احجز عرضا توضيحيا تواصل معنا

الجدول الزمني والطرح

بدأ الطرح في أواخر أغسطس ويستمر خلال سبتمبر:

• 28 أغسطس 2025، تلقت orgs الجديدة القيود.
• 2 سبتمبر 2025، بدأت orgs الحالية تلقي التغييرات بطرح تدريجي لنحو أسبوعين.
• 2 سبتمبر 2025، تمت إزالة OAuth 2.0 Device Flow من Data Loader.

ما الذي لن يتغير

من المهم معرفة أن ليس كل شيء يتغير. سيبقى التالي كما هو:

• Installed Connected Apps ستواصل العمل دون تعطيل.
• صلاحيات تثبيت تطبيقات جديدة لن تتغير.
• التطبيقات المصرح لها سابقا ستواصل العمل للمستخدمين الحاليين، باستثناء تلك التي تستخدم OAuth 2.0 Device Flow.

الصورة الأكبر: الأمن مسؤولية جماعية

رغم أن Salesforce توفر هذه controls الأمنية الجديدة، يبقى أمان المنصة مسؤولية مشتركة. لا تستطيع أقوى controls التقنية حماية المؤسسة إذا خدع مستخدم ومنح الوصول لتطبيق ضار.

استخدم هذا الانتقال لتعزيز security awareness في مؤسستك:

• درّب المستخدمين على رصد phishing وvishing
• حدد إجراءات escalation واضحة للطلبات المشبوهة
• راجع استخدام Connected App والصلاحيات بانتظام.
• وثّق app approval process حتى تكون القرارات متسقة وشفافة.

الخلاصة

تظهر هذه التحديثات التزام Salesforce بسد الفجوات الأمنية مع الحفاظ على المرونة التي تجعل المنصة قوية. عندما تضع هذه التغييرات في سياق الحوادث الأخيرة، من Google وChanel إلى Air France–KLM، يتضح سبب ضرورة تقييد التطبيقات غير المثبتة وإزالة OAuth Device Flow. يسيء المهاجمون استخدام الثقة والراحة بشكل متزايد؛ ويجب أن تتطور governance وتوعية المستخدمين بالسرعة نفسها.

تمنح هذه التغييرات admins مزيدا من التحكم، لكنها تتطلب أيضا استعدادا استباقيا. عبر مراجعة Connected Apps، وتحديث الصلاحيات، وتدريب المستخدمين، ستتجنب التعطيل وتقوي وضع الأمان طوال الطرح.

يعتمد عليك المستخدمون لإبقاء الأبواب الصحيحة مفتوحة والخاطئة مغلقة بإحكام.