Salesforce Connected App Security: is je org klaar?

TL;DR: Sinds begin september 2025 beperkt Salesforce toegang tot niet-geïnstalleerde Connected Apps en verwijdert het OAuth 2.0 Device Flow uit Data Loader. Deze securityverbeteringen vragen directe actie van admins om verstoring van bestaande integraties te voorkomen.

Salesforce introduceerde in september belangrijke wijzigingen in Connected App security. Die verschuiven de balans tussen toegang en controle, dus voorbereiding is cruciaal.

Waarom deze wijziging?

De afgelopen maanden richtte een golf van voice-phishing (“vishing”) en social-engineering aanvallen zich op Salesforce-klanten. Aanvallers deden zich voor als IT-helpdeskmedewerkers, lieten medewerkers OAuth-toegang geven aan schadelijke apps en gebruikten die credentials om klantdata te exfiltreren.

Bekende slachtoffers zijn onder meer Google, waar business contact details en sales notes werden gestolen, plus Chanel, Farmers Insurance en LVMH-merken zoals Louis Vuitton, Dior en Tiffany & Co. In de luchtvaart meldden Air France en KLM in augustus 2025 dat een gecompromitteerd third-party customer-service platform namen, e-mailadressen, telefoonnummers en loyalty-programme details blootlegde. 

Deze incidenten onderstrepen waarom Salesforce de controle over niet-geïnstalleerde connected apps aanscherpt en OAuth Device Flow uitfaseert.

Als Salesforce-admins balanceren we tussen toegankelijkheid en security. Gebruikers moeten de tools krijgen die ze nodig hebben, terwijl organisaties beschermd blijven tegen dreigingen.

Wat verandert er?

1. Niet-geïnstalleerde Connected Apps standaard geblokkeerd

De hoofdwijziging is eenvoudig maar ingrijpend: niet-geïnstalleerde Connected Apps zijn niet langer toegankelijk voor de meeste gebruikers. Als een app niet formeel in je org is geïnstalleerd, wordt deze geblokkeerd.

Dit betekent:

• Nieuwe gebruikers die niet-geïnstalleerde Connected Apps willen openen, worden volledig geblokkeerd tenzij ze speciale bypass-permissies hebben.
• Bestaande gebruikers die eerder een app autoriseerden, kunnen deze blijven gebruiken, maar alleen als de app niet afhankelijk is van OAuth 2.0 Device Flow.
• Alle niet-geïnstalleerde apps die OAuth 2.0 Device Flow gebruiken, worden volledig geblokkeerd, ook voor gebruikers die ze eerder autoriseerden.

2. Nieuwe permissies voor bypass-toegang

Salesforce introduceerde nieuwe manieren voor vertrouwde gebruikers om deze beperkingen te omzeilen, maar met extra verantwoordelijkheid:

• “Approve Uninstalled Connected Apps”, een nieuwe permissie in Summer '25 waarmee specifieke gebruikers zelf niet-geïnstalleerde apps kunnen autoriseren.
• “Use Any API Client”, een bestaande bredere permissie die ook bypass-mogelijkheden geeft.

De effectiviteit van deze permissies hangt af van je API Access Control-instellingen.

3. Verwijdering van Data Loader OAuth 2.0 Device Flow

Op 2 september 2025 is de OAuth Device Flow-optie voor de automatisch geïnstalleerde Data Loader-app volledig verwijderd. Gebruikers moeten overstappen op password authentication of OAuth Web Server Flow.

Waarom voert Salesforce dit door?

Het antwoord is simpel: security. Recente social-engineering aanvallen richtten zich op Salesforce-gebruikers en misleidden hen om schadelijke Connected Apps te autoriseren die zich voordeden als legitieme tools zoals Data Loader. Deze aanvallen slaagden doordat ze het gat tussen gebruiksgemak en organisatiecontrole misbruikten.

Security-onderzoekers merken op dat groepen zoals ShinyHunters/UNC6040 telefonische social engineering gebruiken om multi-factor authentication te omzeilen en medewerkers OAuth scopes te laten goedkeuren. Zodra aanvallers toegang hebben, halen ze stilletjes customer-care records op en gebruiken ze de data voor afpersing of verdere phishing.

Zoals Google's threat analysis liet zien, misbruikten aanvallers geen kwetsbaarheden in Salesforce zelf. Ze manipuleerden gebruikers om toegang te geven aan schadelijke apps. Door standaard een “gesloten deur” te hanteren, dwingt Salesforce organisaties bewuste keuzes te maken over welke apps gebruikers mogen openen.

Wat je nu moet doen

1. Audit je huidige Connected Apps

Directe actie vereist: ga naar Setup → Connected Apps OAuth Usage en review elke app in gebruik.

Zoek naar de “Install”-knop in de Actions-kolom. Als je die ziet, is de app niet geïnstalleerd en geraakt door de nieuwe beperkingen.

Let bij je review op:

• Eerste en laatste gebruiksdatum, wordt de app actief gebruikt of is deze verouderd?
• Welke gebruikers toegang hebben, hebben ze die echt nodig?
• Betrouwbaarheid, herken je de app en de publisher?
• Legitieme integraties, zoals Power BI, nonprofit apps of partneroplossingen die geïnstalleerd moeten worden om verstoring te voorkomen.

2. Neem installatiebeslissingen

Voor elke niet-geïnstalleerde app die je vindt:

• Installeer apps die legitiem zijn en actief door je team worden gebruikt.
• Blokkeer apps die je niet herkent, vertrouwt of nodig hebt.
• Documenteer de business justification voor elke app die je houdt, zodat je audit trail duidelijk is.

Sterkere governance, minder breaches

Audit, installeer of blokkeer apps met een duidelijk approval process. Gebruik Serpent om permissies te volgen en je org veilig te houden zonder delivery te vertragen.

Probeer de gratis demo Meer over Serpent

3. Wijs nieuwe permissies voorzichtig toe

Geef de permissie “Approve Uninstalled Connected Apps” alleen wanneer absoluut nodig. Geschikte kandidaten zijn:

• Administrators die apps moeten testen vóór org-wide installatie.
• Developers die integraties bouwen of onderhouden.
• Geselecteerde business users met een duidelijke noodzaak en bewezen security awareness.

⚠️ Onthoud: dit is een alles-of-niets permissie. Gebruikers ermee kunnen elke niet-geïnstalleerde Connected App autoriseren, dus kies zorgvuldig.

4. Bereid je voor op Data Loader-wijzigingen

Als je gebruikers vertrouwen op Data Loader:

• Download de nieuwste versie vóór 2 september 2025
• Train gebruikers in password authentication of Web Server Flow
• Communiceer de wijziging vroeg om workflowverstoring te voorkomen

4. Bereid je voor op Data Loader-wijzigingen

Als je gebruikers vertrouwen op Data Loader:

• Update naar de nieuwste versie na 2 september 2025
• Train gebruikers om van OAuth Device Flow naar Password Authentication of OAuth Web Server Flow te wisselen
• Communiceer de wijziging duidelijk om verstoring van reguliere workflows te voorkomen.

5. Versterk governance

Gebruik deze overgang om je Connected App governance te verbeteren:

• Review wie permissie heeft om nieuwe Connected Apps te installeren.
• Monitor appgebruik en user authorizations regelmatig.
• Dwing least privilege af over alle profiles en roles.
• Vraag API Access Control aan via je Salesforce Account Executive als je strengere guardrails nodig hebt.

Verifieer helpdeskverzoeken en beperk third-party access. Veel breaches in 2025 begonnen doordat aanvallers zich voordeden als IT-support en servicedeskmedewerkers overtuigden credentials te geven of te resetten. Vereis strikte identiteitscontrole voor elke servicedeskactie, dwing multi-factor authentication af, audit third-party app scopes en verwijder ongebruikte integraties. Review connected apps regelmatig en trek langlevende tokens in om de impact te beperken als een third-party platform wordt gecompromitteerd.

Blijf compliant en release-ready

Laat Tekunda een security-first DevOps-strategie ontwerpen voor je Salesforce setup, zodat jij focust op business value terwijl wij governance aanpakken.

Boek een demo Neem contact op

Tijdlijn en rollout

De rollout begon eind augustus en loopt door september:

• 28 augustus 2025, nieuwe orgs kregen de beperkingen.
• 2 september 2025, bestaande orgs begonnen de wijzigingen te krijgen via gefaseerde rollout over ongeveer 2 weken.
• 2 september 2025, OAuth 2.0 Device Flow werd uit Data Loader verwijderd.

Wat niet verandert

Het is belangrijk om te weten dat niet alles verandert. Dit blijft hetzelfde:

• Installed Connected Apps blijven zonder verstoring werken.
• Permissies om nieuwe apps te installeren blijven ongewijzigd.
• Eerder geautoriseerde apps blijven werken voor bestaande gebruikers, behalve apps die OAuth 2.0 Device Flow gebruiken.

Het grotere plaatje: security als teamsport

Hoewel Salesforce deze nieuwe security controls biedt, blijft platform security een gedeelde verantwoordelijkheid. De sterkste technische controls beschermen niet tegen een gebruiker die via social engineering toegang geeft aan een schadelijke app.

Gebruik deze overgang om security awareness in je organisatie te versterken:

• Train gebruikers om phishing en vishing te herkennen
• Definieer duidelijke escalatieprocedures voor verdachte verzoeken
• Audit Connected App-gebruik en permissies regelmatig.
• Documenteer je app approval process zodat beslissingen consistent en transparant zijn.

Conclusie

Deze updates tonen Salesforce's inzet om securitygaten te sluiten zonder de flexibiliteit te verliezen die het platform krachtig maakt. Door de wijzigingen te plaatsen naast recente incidenten, van Google en Chanel tot Air France–KLM, zie je waarom het beperken van niet-geïnstalleerde apps en verwijderen van OAuth Device Flow noodzakelijke stappen zijn. Aanvallers misbruiken steeds vaker vertrouwen en gemak; je governance en gebruikerstraining moeten even snel evolueren.

Deze wijzigingen geven admins meer controle, maar vragen ook proactieve voorbereiding. Door Connected Apps te auditen, permissies bij te werken en gebruikers te trainen, voorkom je verstoring en versterk je je securityhouding tijdens de rollout.

Gebruikers rekenen erop dat jij de juiste deuren openhoudt en de verkeerde stevig sluit.