Ti trovi qui:
API (Abilita impostazioni OAuth): Configurazione del token ID
Questa impostazione di protezione definisce la durata della vita crittografica e la struttura dei dati del token ID OpenID Connect.
Nome controllo
Applicazioni connesse: API (Abilita impostazioni OAuth): Configurazione del token ID
Configurazione consigliata
Configura token ID - Durata token in minuti (2 minuti) | Pubblico token ID | Includi richieste standard | Includi autorizzazioni personalizzate | Attributi personalizzati.
Panoramica sul controllo
Questa impostazione di protezione definisce la durata della vita crittografica e la struttura dei dati del token ID OpenID Connect specificando l'intervallo di scadenza, gli identificatori del pubblico di destinazione e l'inclusione di metadati specifici a livello di utente.
Rischio per la sicurezza se non configurato
La durata debole del token ID e gli attributi gestiti in modo non corretto per le sessioni di applicazione causano un rischio prolungato di furto di identità in cui i token non aggiornati contenenti identificatori utente sensibili rimangono validi per il riutilizzo non autorizzato.
Scenari di minaccia
Un aggressore intercetta un token ID di lunga durata ed estrae i metadati persistenti dell'utente o utilizza la sessione attiva per impersonare la vittima in più sistemi integrati a valle che condividono la stessa richiesta del pubblico.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata implementazione di cicli di vita brevi dei token e insiemi di attributi limitati facilita la raccolta non autorizzata degli identificativi personali e aumenta la probabilità di attacchi replay riusciti contro il livello di identità dell'organizzazione.
Rischio maggiore quando
Quando il token ID include attributi personalizzati generici contenenti logica aziendale sensibile o quando la richiesta del pubblico è impostata su un valore globale che consente l'accettazione del token da parte di fornitori di servizi esterni non intenzionali.
Basso rischio quando
Se l'organizzazione impone una finestra di scadenza minima di due minuti e utilizza identificatori di pubblico univoci per assicurarsi che i token siano crittografati a un singolo client verificato.
Considerazioni su Business e integrazione
L'implementazione di policy restrittive sui token ID garantisce la conformità ai regolamenti sulla privacy dei dati riducendo al minimo la trasmissione di dati utente non necessari, anche se richiede che l'applicazione supporti cicli di aggiornamento dei token frequenti.
Rimedio consigliato
Accedere alle policy OAuth per l'applicazione connessa, impostare la validità del token ID su due minuti, definire i pubblici dei token ID e selezionare solo i claim standard e personalizzati necessari.
Guida all'esame dello stato della sicurezza
Security Health Review identifica l'uso di token ID di breve durata e con restrizioni sulle richieste come uno standard fortemente consigliato per ridurre al minimo il periodo di opportunità di uso improprio delle credenziali e per impedire l'esposizione di metadati utente persistenti.
