詳細情報:
API (OAuth 設定の有効化): ID トークンの設定
このセキュリティ設定では、OpenID Connect ID トークンの暗号化の有効期限とデータ構造を定義します。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): ID トークンの設定
推奨設定
ID トークンの設定 - トークン期間 (分) (2 分) | ID トークン利用者 | 標準請求を含める | カスタム権限を含める | カスタム属性。
制御の概要
このセキュリティ設定では、有効期限、対象利用者識別子、特定のユーザーレベルのメタデータを含めることを指定して、OpenID Connect ID トークンの暗号化の有効期限とデータ構造を定義します。
設定されていない場合のセキュリティリスク
アプリケーションセッションの ID トークン期間が脆弱で、属性が適切に管理されていない場合、ID 盗難のリスクが長期化し、機密ユーザー ID を含む古いトークンが不正に再使用されます。
脅威のシナリオ
攻撃者は、有効期間の長い ID トークンを傍受して永続的なユーザーメタデータを抽出したり、有効なセッションを使用して、同じ利用者要求を共有する複数のダウンストリーム統合システムで被害者になりすますことができます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
短いトークンライフサイクルと制限された属性セットを実装しないと、個人識別子の不正収集が促進され、組織の ID レイヤーに対するリプレイ攻撃が成功する可能性が高くなります。
より高いリスク
ID トークンに機密ビジネスロジックを含む広範なカスタム属性が含まれている場合、または利用者の要求が、意図しない外部サービスプロバイダーによるトークンの受け入れを許可するグローバル値に設定されている場合。
低リスク
組織が 2 分以上の有効期限を適用し、一意の利用者識別子を使用してトークンが検証済みの 1 つのクライアントに暗号でバインドされていることを確認する場合。
ビジネスと統合に関する考慮事項
制限付きの ID トークンポリシーを実装すると、不要なユーザーデータの送信を最小限に抑えることでデータプライバシー規制へのコンプライアンスを確保できますが、トークンの頻繁な更新サイクルをサポートするために消費アプリケーションが必要になります。
推奨される修復
[接続アプリケーションの OAuth ポリシー] に移動し、[ID トークンの有効期間] を 2 分に設定し、[ID トークン利用者] を定義して、必要な標準クレームとカスタムクレームのみを選択します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、ログイン情報が悪用される可能性を最小限に抑え、永続的なユーザーメタデータが公開されないようにするために、有効期間の短いクレーム制限された ID トークンを使用することを強く推奨する標準として特定しています。
