Sie befinden sich hier:
API (OAuth-Einstellungen aktivieren): Konfigurieren der ID-Token-Steuerung
Diese Sicherheitseinstellung definiert die kryptografische Lebensdauer und die Datenstruktur des OpenID Connect-ID-Tokens.
Steuerelementname
Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): ID-Token konfigurieren
Empfohlene Konfiguration
ID-Token konfigurieren – Tokendauer in Minuten (2 Minuten) | ID-Token-Zielgruppen | Standardansprüche einschließen | Benutzerdefinierte Berechtigungen einschließen | Benutzerdefinierte Attribute.
Steuerelementübersicht
Diese Sicherheitseinstellung definiert die kryptografische Lebensdauer und die Datenstruktur des OpenID Connect-ID-Tokens, indem das Ablaufintervall, Zielgruppenkennzeichner und die Einbeziehung spezifischer Metadaten auf Benutzerebene angegeben werden.
Sicherheitsrisiko, wenn nicht konfiguriert
Schwache ID-Token-Dauer und falsch verwaltete Attribute für Anwendungssitzungen führen zu einem verlängerten Identitätsdiebstahlrisiko, bei dem veraltete Token mit sensiblen Benutzerkennzeichnern für die nicht autorisierte Wiederverwendung gültig bleiben.
Bedrohungsszenarien
Ein Angreifer fängt ein langlebiges ID-Token ab und extrahiert persistente Benutzermetadaten oder verwendet die aktive Sitzung, um sich in mehreren nachgelagerten integrierten Systemen auszugeben, die denselben Zielgruppenanspruch haben.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn kurze Tokenlebenszyklen und eingeschränkte Attributsätze nicht implementiert werden, wird die nicht autorisierte Erfassung persönlicher Kennzeichner erleichtert und die Wahrscheinlichkeit von erfolgreichen Wiederholungsangriffen auf die Organisationsidentitätsebene erhöht.
Höheres Risiko, wenn
Wenn das ID-Token breite benutzerdefinierte Attribute mit sensibler Geschäftslogik enthält oder wenn der Zielgruppenanspruch auf einen globalen Wert festgelegt ist, der die Tokenakzeptanz durch nicht vorgesehene externe Serviceanbieter zulässt.
Geringes Risiko, wenn
Wenn die Organisation ein Ablauffenster von mindestens zwei Minuten erzwingt und eindeutige Zielgruppenkennzeichner verwendet, um sicherzustellen, dass Token kryptographisch an einen einzelnen überprüften Client gebunden sind.
Überlegungen zu Unternehmen und Integration
Durch die Implementierung restriktiver ID-Token-Richtlinien wird die Einhaltung der Datenschutzbestimmungen sichergestellt, indem die Übertragung unnötiger Benutzerdaten minimiert wird, obwohl die aufwändige Anwendung häufige Tokenaktualisierungszyklen unterstützt.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Richtlinien für die verbundene Anwendung, legen Sie die Gültigkeit des ID-Tokens auf zwei Minuten fest, definieren Sie die ID-Token-Zielgruppen und wählen Sie nur die erforderlichen standardmäßigen und benutzerdefinierten Ansprüche aus.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Verwendung von kurzlebigen, anspruchsbeschränkten ID-Token als dringend empfohlenen Standard, um das Zeitfenster für den Missbrauch von Anmeldeinformationen zu minimieren und die Offenlegung persistenter Benutzermetadaten zu verhindern.
