Sie befinden sich hier:
API (OAuth-Einstellungen aktivieren): Flow zum Deaktivieren von Client-Anmeldeinformationen
Bei dieser Steuerung werden die unsicheren Flows für Client-Anmeldeinformationen zugunsten von zertifikatsbasierten Authentifizierungsmethoden mit hoher Sicherung wie dem JWT-Bearer-Flow oder External Client Apps (ECA) deaktiviert.
Steuerelementname
Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Flow zum Deaktivieren von Client-Anmeldeinformationen
Empfohlene Konfiguration
Flow für Client-Anmeldeinformationen deaktivieren.
Steuerelementübersicht
Bei dieser Steuerung werden die unsicheren Flows für Client-Anmeldeinformationen zugunsten von zertifikatsbasierten Authentifizierungsmethoden mit hoher Sicherung wie dem JWT-Bearer-Flow oder External Client Apps (ECA) deaktiviert.
Sicherheitsrisiko, wenn nicht konfiguriert
Diese Flows basieren oft auf einer statischen Client-ID und einem Client-Geheimnis (und manchmal auf Benutzerkennwörtern), die als "gemeinsame Geheimnisse" fungieren und leicht kompromittiert werden können, wenn sie in Skripts hartcodiert oder in Konfigurationsdateien verfügbar gemacht werden.
Bedrohungsszenarien
Ein Angreifer entdeckt ein hartcodiertes Client-Geheimnis in einem öffentlichen GitHub-Repository oder in einer internen Dokumentation und verwendet es, um sich programmgesteuert als Serviceaccount mit hohen Berechtigungen zu authentifizieren und so vollen API-Zugriff auf die Organisation zu erhalten.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Die Verwendung unsicherer Anmeldeinformationen führt zu einer persistenten, nicht interaktiven Accountübernahme, wodurch ein Gegner Massendatenmengen exfiltrieren oder die Systemkonfiguration ändern kann, ohne herkömmliche MFA-Herausforderungen auszulösen.
Höheres Risiko, wenn
Wenn der Flow für Client-Anmeldeinformationen einem Benutzer zugeordnet ist, der dem Profil "Systemadministrator" zugewiesen ist, oder einem Profil mit der Berechtigung "Alle Daten modifizieren".
Geringes Risiko, wenn
Wenn das Unternehmen strenge IP-Anmeldebereiche für den Integrationsbenutzer implementiert hat und die Echtzeit-API-Anforderungsüberwachung verwendet, um anormalen Datenverkehr mit hohem Volumen zu erkennen.
Überlegungen zu Unternehmen und Integration
Zum Deaktivieren dieser Flows muss vorhandene Middleware (z. B. MuleSoft-, Boomi- oder benutzerdefinierte Python-Skripts) migriert werden, um zertifikatsbasierte JWT-Flows zu verwenden. Dazu müssen X.509-Zertifikate verwaltet und die clientseitige Logik aktualisiert werden.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Einstellungen der verbundenen Anwendung, deaktivieren Sie das Kontrollkästchen "Flow für Client-Anmeldeinformationen aktivieren" und stellen Sie die Integration auf die Verwendung des JWT-Bearer-Flows mit einem digitalen Zertifikat um.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung stellt die Entfernung veralteter, kennwortbasierter Flows für Anmeldeinformationen als wichtigen Schritt zur Modernisierung der Identitätssicherheit und zur Umstellung auf eine Zero Trust Architektur für alle System-zu-System-Integrationen dar.
