Você está aqui:
API (Habilitar configurações do OAuth): Configurar token de ID
Essa configuração de segurança define a vida útil criptografada e a estrutura de dados do token de ID do OpenID Connect.
Nome do controle
Aplicativos conectados: API (Habilitar configurações do OAuth): Configurar token de ID
Configuração recomendada
Configurar token de ID – Duração do token em minutos (2 minutos) | Públicos do token de ID | Incluir declarações padrão | Incluir permissões personalizadas | Atributos personalizados.
Visão geral de controle
Essa configuração de segurança define a vida útil criptografada e a estrutura de dados do token de ID do OpenID Connect especificando o intervalo de expiração, identificadores de público-alvo e a inclusão de metadados específicos no nível do usuário.
Risco de segurança, se não configurado
Duração fraca do token de ID e atributos gerenciados incorretamente para sessões do aplicativo levam a um risco prolongado de roubo de identidade, em que tokens obsoletos contendo identificadores de usuário confidenciais permanecem válidos para reutilização não autorizada.
Cenários de ameaça
Um invasor intercepta um token de ID de longa duração e extrai metadados de usuário persistentes ou usa a sessão ativa para personificar a vítima em vários sistemas integrados downstream que compartilham a mesma declaração de público.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A falha na implementação de ciclos de vida de token curtos e conjuntos de atributos restritos facilita a colheita não autorizada de identificadores pessoais e aumenta a probabilidade de ataques de reprodução bem-sucedidos contra a camada de identidade organizacional.
Risco maior quando
Quando o token de ID inclui amplos atributos personalizados contendo lógica de negócios confidencial ou quando a declaração de público é definida para um valor global que permita a aceitação do token por provedores de serviços externos indesejados.
Baixo risco quando
Se a organização impor uma janela de expiração mínima de dois minutos e usar identificadores de público exclusivos para garantir que os tokens estejam criptograficamente vinculados a um único cliente verificado.
Considerações de negócios e integração
A implementação de políticas de token de ID restritivas garante a conformidade com os regulamentos de privacidade de dados minimizando a transmissão de dados de usuário desnecessários, embora exija que o aplicativo consumidor dê suporte a ciclos de atualização de token frequentes.
Remediação recomendada
Acesse Políticas do OAuth para o aplicativo conectado, defina a Validade do token de ID para dois minutos, defina os Públicos do token de ID e selecione apenas as reivindicações padrão e personalizadas necessárias.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica o uso de tokens de ID de curta duração restritos por declaração como um padrão altamente recomendado para minimizar a janela de oportunidade para uso indevido de credenciais e evitar a exposição de metadados de usuário persistentes.
