مصادقة Salesforce: دليل الهجرة الكامل

تطور مصادقة Salesforce: دليل الهجرة الكامل

في سبتمبر 2025، تنفذ Salesforce تغييرات كبيرة في أمان Connected App ستؤثر في طريقة مصادقة تطبيقاتك. هناك تحولان مهمان:

سيتم حظر OAuth 2.0 Device Flow.

لن تكون Connected Apps غير المثبتة متاحة لمعظم المستخدمين.

تشرح هذه المقالة الهجرة من Device Login flow إلى Connected App OAuth2 Flow مع PKCE، ولماذا يهم هذا التغيير، وكيف تستعد بثقة.

لماذا تحظر Salesforce Device Flow

يحتوي Device Flow (RFC8628) على ثغرة معروفة: يمكن بدؤه باستخدام client_id فقط. قد يستغل مهاجم ذلك في هجمات social engineering لإقناع المستخدمين بالموافقة على تطبيقات غير موثوقة.

الأثر الواقعي: نُفذت خروقات بارزة حديثة في شركات مثل KLM Airfrance وAdidas وGoogle وQantas وAllianz Life عبر مجموعات تهديد مثل UNC6040/ShinyHunters باستخدام هذا المسار نفسه. استخدم المهاجمون social engineering، مثل مكالمات هاتفية تنتحل فريق IT، لخداع الموظفين حتى يصرحوا Connected Apps ضارة عبر Device Flow.

أكدت Salesforce أن هذه الثغرة استُغلت في بيئات production، مما يجعل الإيقاف ضرورة أمنية وليس مجرد ترقية تقنية.

الانتقال إلى Connected App OAuth2 Flow مع PKCE

البديل الآمن هو PKCE (Proof Key for Code Exchange)، وهو تحسين على Authorization Code Flow يمنع اعتراض authorization code.

الخطوة 1: إنشاء PKCE parameters

أنشئ code_verifier، وهي سلسلة عشوائية وآمنة تشفيريا بطول 43-128 حرفا.

طبّق SHA256 ثم base64url-encode → code_challenge.

مهم: استخدم base64url encoding، وليس base64 القياسي. يستبدل ذلك + بـ -، و/ بـ _، ويزيل padding = لضمان أمان URL.

الخطوة 2: بناء Authorization URL

تأكد من تضمين parameter الحرج الضروري لتنفيذ PKCE:

code_challenge_method=S256

مثال:

https://login.salesforce.com/services/oauth2/authorize?
client_id=YOUR_CLIENT_ID&
response_type=code&
redirect_uri=YOUR_CALLBACK_URL&
scope=full refresh_token&
code_challenge_method=S256&
code_challenge=YOUR_CODE_CHALLENGE&
state=YOUR_RANDOM_STATE

الخطوة 3: استبدال Authorization Code بالtokens

أرسل code وcode_verifier إلى Salesforce:

POST /services/oauth2/token
grant_type=authorization_code
client_id=YOUR_CLIENT_ID
code=AUTH_CODE
code_verifier=ORIGINAL_CODE_VERIFIER
redirect_uri=CALLBACK_URL

الخطوة 4: تحديث الصلاحيات

تضيف Salesforce صلاحيات جديدة بقواعد تعتمد على إعدادات org لديك:

إذا كان API Access Control معطلا، وهو حال معظم orgs:

يمكن للمستخدمين الوصول إلى التطبيقات غير المثبتة بإحدى الصلاحيتين:

• Approve Uninstalled Connected Apps (جديدة في Summer '25)، موصى بها لمعظم الحالات
• Use Any API Client، صلاحية أوسع ويجب استخدامها بحذر

إذا كان API Access Control مفعلا:

ستعمل فقط صلاحية Use Any API Client للوصول إلى التطبيقات غير المثبتة.

تغييرات خاصة بـ Data Loader

موعد حاسم: 2 سبتمبر 2025، ينتهي دعم OAuth Device Flow في Data Loader.

الإجراءات المطلوبة:

• غيّر طريقة المصادقة قبل 2 سبتمبر:
  • Password authentication (username + password + security token)
  • OAuth Web Server Flow (موصى به)
• حدّث Data Loader، ستصدر Salesforce نسخة جديدة قبل 2 سبتمبر مع إزالة Device Flow بالكامل
• ملاحظة: استخدام command line مع كلمات مرور مشفرة لا يتأثر

تحديات الهجرة الشائعة

أخطاء PKCE ("invalid code verifier"): سببها غالبا غياب code_challenge_method=S256 أو base64url encoding غير صحيح.

حظر وصول المستخدم بعد سبتمبر: يُحل عبر تعيين الصلاحية المناسبة بناء على حالة API Access Control.

فشل تسجيل الدخول في Data Loader: انقل طريقة المصادقة قبل 2 سبتمبر 2025.

إعداد Connected App غير صحيح: عند تثبيت التطبيقات، اضبط "Permitted Users" على "Admin approved users are pre-authorized" لتحكم أمني أفضل.

الجدول الزمني وخطة العمل

إجراءات فورية (قبل 2 سبتمبر 2025)

راجع Connected Apps:

• اذهب إلى Setup → Connected Apps OAuth Usage
• ابحث عن أزرار "Install" في عمود Actions، فهي تشير إلى تطبيقات غير مثبتة

حدد استخدام Device Flow:

• ركز على مستخدمي Data Loader
• افحص أي custom applications تستخدم Device Flow

خطط لتنفيذ PKCE:

• راجع OAuth flows الحالية
• جهز موارد التطوير لهجرة PKCE

مرحلة الهجرة (أغسطس–سبتمبر 2025)

نفذ OAuth flow يدعم PKCE:

• تأكد من base64url encoding صحيح
• ضمّن parameter code_challenge_method=S256
• اختبر authorization وtoken exchange flows

اختبر في Salesforce sandbox:

• تحقق من تنفيذ PKCE
• اختبر user permission assignments
• تحقق من بدائل Data Loader

اضبط Connected Apps بشكل صحيح:

• ثبت التطبيقات غير المثبتة الموثوقة عبر زر "Install"
• اضبط "Permitted Users" على "Admin approved users are pre-authorized"
• امنح الوصول عبر Permission Sets وفق مبدأ least privilege

استعد لهجرة Data Loader:

• درّب المستخدمين على طرق المصادقة الجديدة
• حدّث التوثيق والإجراءات
• اختبر password authentication أو Web Server Flow

بعد الهجرة (بعد سبتمبر 2025)

راقب authentication logs:

• راقب محاولات المصادقة الفاشلة
• تتبع أنماط استخدام Connected App
• راقب security incidents

وفر دعم المستخدمين:

• عالج مشكلات الوصول بسرعة
• ساعد المستخدمين في طرق المصادقة الجديدة
• وثق خطوات troubleshooting الشائعة

راجع security policies كل ربع سنة:

• راجع صلاحيات Connected App بانتظام
• راجع وصول المستخدمين إلى التكاملات الحساسة
• فكر في تفعيل API Access Control لأمان أعلى

توصيات أمنية إضافية

اختياري لكن موصى به: تفعيل API Access Control

تواصل مع Salesforce Support لتفعيل هذه الميزة، التي توفر:

• وصول Connected App قائم على allowlist
• تحكم دقيق في التطبيقات التي يمكن للمستخدمين الوصول إليها
• حظر استباقي للتطبيقات غير المصرح بها

تثقيف المستخدمين أمر حاسم

• درّب المستخدمين على التعرف على محاولات social engineering
• أنشئ إجراءات واضحة لطلبات الوصول إلى Connected App
• تواصل بانتظام حول security best practices
• ذكّر المستخدمين بعدم الموافقة على تطبيقات غير مألوفة أبدا

إطار governance

• حدد ملكية واضحة لكل Connected App
• أنشئ approval processes للتكاملات الجديدة
• نفذ access reviews منتظمة
• أشرك فرق security في سياسات Connected App

استثناء مهم

التصاريح الحالية: يمكن للمستخدمين الذين صرحوا Connected Apps سابقا الاستمرار في استخدامها بعد سبتمبر 2025، باستثناء التطبيقات التي تم التصريح لها باستخدام Device Flow. سيتم حظر كل تصاريح Device Flow فوريا بغض النظر عن الاستخدام السابق.

الخلاصة

إيقاف Salesforce لـ Device Flow ليس مجرد ترقية تقنية، بل استجابة أمنية حاسمة لهجمات واقعية أضرت بمؤسسات كبيرة. تظهر الخروقات الأخيرة في شركات بارزة الحاجة الملحة لهذه التحسينات.

من خلال الهجرة إلى Connected App OAuth2 Flow مع PKCE وضبط الصلاحيات بشكل صحيح، تستطيع المؤسسات:

• الحماية من هجمات اعتراض authorization code
• الامتثال لمتطلبات أمان Salesforce المتطورة
• تقليل مساحة الهجوم المتاحة لحملات social engineering
• ضمان business continuity للتكاملات الحرجة

عوامل النجاح الأساسية:

• ابدأ الهجرة فورا، لا تنتظر سبتمبر
• اختبر جيدا في sandbox environments
• ركز على تثقيف المستخدمين والgovernance
• فكر في طبقات أمان إضافية مثل API Access Control

الاستعداد المبكر، والاختبار الجيد، وتطبيق governance مناسب سيقلل التعطيل ويقوي وضع الأمان في مؤسستك بشكل كبير.

المراجع

• Salesforce Help: Prepare for Connected App Usage Restrictions Change       
• Salesforce Help: Data Loader OAuth 2.0 Device Flow Removal
• IETF RFC 7636: Proof Key for Code Exchange (PKCE)
• IETF RFC 8628: OAuth 2.0 Device Authorization Grant
• Salesforce Admin Blog: Connected App Usage Restrictions