Você está aqui:
API (Habilitar configurações do OAuth): Desabilitar fluxo de credenciais do cliente
Esse controle envolve desabilitar os fluxos "Credenciais do cliente" inseguros em favor de métodos de autenticação baseados em certificado de alta garantia, como o Fluxo do portador JWT ou Aplicativos cliente externos (ECA).
Nome do controle
Aplicativos conectados: API (Habilitar configurações do OAuth): Desabilitar fluxo de credenciais do cliente
Configuração recomendada
Desabilite o fluxo de credenciais do cliente.
Visão geral de controle
Esse controle envolve desabilitar os fluxos "Credenciais do cliente" inseguros em favor de métodos de autenticação baseados em certificado de alta garantia, como o Fluxo do portador JWT ou Aplicativos cliente externos (ECA).
Risco de segurança, se não configurado
Esses fluxos geralmente dependem de um ID do cliente estático e de um Segredo do cliente (e às vezes senhas de usuário) que atuam como "segredos compartilhados", que são facilmente comprometidos se estiverem embutidos em código em scripts ou expostos em arquivos de configuração.
Cenários de ameaça
Um invasor descobre um segredo do cliente embutido em código em um repositório público do GitHub ou documentação interna e o usa para se autenticar programaticamente como uma conta de serviço de alto privilégio, obtendo acesso de API total à organização.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
O uso de credenciais inseguras leva a uma transferência de conta persistente e não interativa, permitindo que um adversário exfiltre quantidades em massa de dados ou modifique a configuração do sistema sem acionar desafios tradicionais de MFA.
Risco maior quando
Se o fluxo de Credenciais do cliente estiver associado a um usuário atribuído ao perfil "Administrador do sistema" ou a um perfil com as permissões "Modificar todos os dados".
Baixo risco quando
Se a empresa tiver implementado intervalos de IP de login rígidos para o usuário de integração e usar o Monitoramento de solicitação de API em tempo real para detectar tráfego de alto volume anômalo.
Considerações de negócios e integração
Desabilitar esses fluxos requer a migração de middleware existente (por exemplo, MuleSoft, Boomi ou scripts do Python personalizados) para usar fluxos JWT baseados em certificado, que envolve gerenciar certificados X.509 e atualizar a lógica do lado do cliente.
Remediação recomendada
Vá para Configurações do OAuth do aplicativo conectado, desmarque a caixa "Habilitar fluxo de credenciais do cliente" e mude a integração para usar o fluxo do portador JWT com um certificado digital.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a remoção de fluxos de credenciais legados baseados em senha como um passo crucial na modernização da segurança de identidade e na transição para uma arquitetura Zero Trust para todas as integrações entre sistemas.
