Vous êtes ici :
API (Activer les paramètres OAuth) : Configuration du contrôle de jeton d'identification
Ce paramètre de sécurité définit la durée de vie cryptographique et la structure des données du jeton OpenID Connect ID.
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Configurer le jeton d'identification
Configuration recommandée
Configurer le jeton d'identification - Durée du jeton en minutes (2mins) | Audiences du jeton d'identification | Inclure des réclamations standard | Inclure des autorisations personnalisées | Attributs personnalisés.
Vue d'ensemble du contrôle
Ce paramètre de sécurité définit la durée de vie cryptographique et la structure des données du jeton OpenID Connect ID en spécifiant l'intervalle d'expiration, les identifiants d'audience cible et l'inclusion de métadonnées spécifiques au niveau de l'utilisateur.
Risque de sécurité s'il n'est pas configuré
La faible durée du jeton d'identification et des attributs mal gérés pour les sessions d'application entraînent un risque prolongé de vol d'identité, dans lequel les jetons périmés contenant des identifiants utilisateur confidentiels restent valides pour une réutilisation non autorisée.
Scénarios de menace
Un assaillant intercepte un jeton d'identification de longue durée et extrait les métadonnées utilisateur persistantes ou utilise la session active pour usurper l'identité de la victime dans plusieurs systèmes intégrés en aval qui partagent la même réclamation d'audience.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'incapacité d'implémenter des cycles de vie de jeton courts et des ensembles d'attributs restreints facilite la récolte non autorisée d'identifiants personnels et augmente la probabilité de réussite des attaques de relecture contre la couche d'identité organisationnelle.
Risque plus élevé quand
Lorsque le jeton d'identification inclut des attributs personnalisés généraux contenant une logique métier confidentielle ou lorsque la réclamation d'audience est définie sur une valeur globale qui autorise l'acceptation de jetons par des fournisseurs de services externes non intentionnels.
Risque faible quand
Si l'organisation applique une période d'expiration minimale de deux minutes et utilise des identifiants d'audience uniques pour s'assurer que les jetons sont liés cryptographiquement à un client unique et vérifié.
Considérations relatives à l'entreprise et à l'intégration
La mise en œuvre de stratégies restrictives de jeton d'identification garantit la conformité aux réglementations relatives à la confidentialité des données en limitant la transmission de données utilisateur inutiles, bien que l'application consommatrice doive prendre en charge les cycles d'actualisation fréquents des jetons.
Remédiation recommandée
Accédez aux Stratégies OAuth de l'application connectée, définissez la Validité du jeton d'identification sur deux minutes, définissez les Audiences de jeton d'identification, puis sélectionnez uniquement les réclamations standard et personnalisées nécessaires.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation de jetons d'identification de courte durée, limités par une réclamation, comme une norme fortement recommandée afin de réduire les possibilités d'utilisation abusive des identifiants et d'empêcher l'exposition de métadonnées utilisateur persistantes.
