위치:
API(OAuth 설정 활성화): ID 토큰 구성
이 보안 설정은 OpenID Connect ID 토큰의 암호화 수명 및 데이터 구조를 정의합니다.
제어 이름
연결된 앱: API(OAuth 설정 활성화): ID 토큰 구성
권장 구성
ID 토큰 구성 - 토큰 기간(분)(2분) | ID 토큰 대상 그룹 | 표준 클레임 포함 | 사용자 정의 권한 포함 | 사용자 정의 특성.
제어 개요
이 보안 설정은 만료 간격, 대상 그룹 식별자, 특정 사용자 수준 메타데이터 포함을 지정하여 OpenID Connect ID 토큰의 암호화 수명 및 데이터 구조를 정의합니다.
구성되지 않은 경우 보안 위험
응용 프로그램 세션의 ID 토큰 기간이 약하고 잘못 관리된 특성은 권한이 없는 재사용 시 유효하지 않은 민감한 사용자 식별자가 포함된 오래된 토큰이 유지되는 ID 도난 위험이 길어집니다.
위협 시나리오
공격자는 장기적인 ID 토큰을 가로채고 지속적인 사용자 메타데이터를 추출하거나 활성 세션을 사용하여 동일한 대상 클레임을 공유하는 여러 다운스트림 통합 시스템에서 피해자를 가리킵니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
짧은 토큰 수명 주기 및 제한된 특성 집합을 구현하지 못하면 개인 식별자를 무단으로 수집하고 조직 ID 계층에 대한 성공적인 재생 공격 가능성이 높아집니다.
위험이 높은 경우
ID 토큰에 민감한 비즈니스 논리를 포함하는 광범위한 사용자 정의 특성이 포함되어 있거나 대상 클레임이 의도하지 않은 외부 서비스 공급자가 토큰을 수락할 수 있도록 하는 전역 값으로 설정된 경우
낮은 위험 시기
조직이 최소 2분 만료 기간을 적용하고 고유한 대상 식별자를 사용하여 토큰이 암호화된 방식으로 확인된 단일 클라이언트에 바인딩되는지 확인하는 경우
비즈니스 및 통합 고려 사항
제한적인 ID 토큰 정책을 구현하면 불필요한 사용자 데이터 전송을 최소화하여 데이터 프라이버시 규정을 준수할 수 있지만, 자주 토큰 새로 고침 주기를 지원하는 데 필요한 응용 프로그램이 필요합니다.
권장 수정
연결된 앱의 OAuth 정책으로 이동하여 ID 토큰 유효성을 2분으로 설정하고, ID 토큰 대상 그룹을 정의한 다음, 필수 표준 및 사용자 정의 클레임만 선택합니다.
보안 상태 검토 지침
보안 건전성 검토는 자격 증명 오용의 기회 기간을 최소화하고 지속적인 사용자 메타데이터가 노출되는 것을 방지하기 위해 단기간의 청구 제한 ID 토큰을 사용하는 것이 좋습니다.
