U bent hier:
API (OAuth-instellingen inschakelen): ID-token configureren
Deze beveiligingsinstelling definieert de cryptografische levensduur en gegevensstructuur van het OpenID Connect ID-token.
Controlenaam
Verbonden apps: API (OAuth-instellingen inschakelen): ID-token configureren
Aanbevolen configuratie
ID-token configureren - Tokenduur in minuten (2 minuten) | ID-tokendoelgroepen | Standaardclaims opnemen | Aangepaste machtigingen opnemen | Aangepaste kenmerken.
Overzicht van besturingselementen
Deze beveiligingsinstelling definieert de cryptografische levensduur en gegevensstructuur van het OpenID Connect ID-token door het vervaldatuminterval, de identificatiegegevens van de doelgroep en de opname van specifieke metagegevens op gebruikersniveau op te geven.
Beveiligingsrisico indien niet geconfigureerd
Zwakke ID-tokenduur en onjuist beheerde kenmerken voor toepassingssessies leiden tot een langdurig risico op identiteitsdiefstal, waarbij verouderde tokens met gevoelige gebruikers-ID's geldig blijven voor onbevoegd hergebruik.
Dreigingsscenario's
Een aanvaller onderschept een ID-token met een lange levensduur en extraheert aanhoudende metagegevens van gebruikers of gebruikt de actieve sessie om zich voor te doen als het slachtoffer in meerdere downstream geïntegreerde systemen die dezelfde doelgroepclaim delen.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het niet implementeren van korte tokenlevenscycli en beperkte kenmerkensets vergemakkelijkt het ongeoorloofd verzamelen van persoonlijke identifiers en vergroot de kans op geslaagde replay-aanvallen op de identiteitslaag van de organisatie.
Hoger risico wanneer
Wanneer het ID-token brede aangepaste kenmerken bevat die gevoelige bedrijfslogica bevatten of wanneer de doelgroepclaim is ingesteld op een globale waarde die tokenacceptatie door onbedoelde externe serviceproviders toestaat.
Laag risico wanneer
Als de organisatie een minimale vervalperiode van twee minuten afdwingt en unieke doelgroep-ID's gebruikt om ervoor te zorgen dat tokens cryptografisch zijn gebonden aan één geverifieerde client.
Overwegingen bij bedrijf en integratie
Het implementeren van restrictief beleid voor ID-tokens garandeert naleving van regelgeving voor gegevensprivacy door de overdracht van onnodige gebruikersgegevens te minimaliseren, hoewel de verbruikende toepassing frequente vernieuwingscycli voor tokens moet ondersteunen.
Aanbevolen oplossing
Ga naar het OAuth-beleid voor de verbonden app, stel de geldigheid van het ID-token in op twee minuten, definieer de ID-tokendoelgroepen en selecteer alleen de noodzakelijke standaard- en aangepaste claims.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het gebruik van kortlevende, voor claims beperkte ID-tokens als een sterk aanbevolen standaard om de kans op misbruik van inloggegevens te minimaliseren en om de blootstelling van persistente gebruikersmetagegevens te voorkomen.
