Sie befinden sich hier:
Konfigurieren von OAuth-Richtlinien: Konfigurieren von Flow-Richtlinien für Client-Anmeldeinformationen
Dieser Sicherheitsstatus schreckt die Verwendung des Flows für Client-Anmeldeinformationen zugunsten sichererer benutzerkontextbasierter Authentifizierungsmethoden ab.
Steuerelementname
Externe Client-Anwendungen: Konfigurieren von OAuth-Richtlinien: Konfigurieren von Flow-Richtlinien für Client-Anmeldeinformationen
Empfohlene Konfiguration
Konfigurieren Sie Flow-Richtlinien für Client-Anmeldeinformationen.
Steuerelementübersicht
Dieser Sicherheitsstatus schreckt die Verwendung des Flows für Client-Anmeldeinformationen zugunsten sichererer benutzerkontextbasierter Authentifizierungsmethoden ab, um sicherzustellen, dass der gesamte Datenzugriff an eine bestimmte identifizierbare Person gebunden ist. Der Flow für Client-Anmeldeinformationen verwaltet die Möglichkeit externer Client-Anwendungen, Zugriffstoken mithilfe einer Client-ID und eines Client-Geheimnisses ohne menschliches Zutun zu authentifizieren und abzurufen.
Sicherheitsrisiko, wenn nicht konfiguriert
Durch die Verwendung dieses Flows besteht ein hohes Risiko des Datenmissbrauchs, da die Autorisierung auf Benutzerebene umgangen wird und Backend-Service-Accounts mit persistentem, autonomem Zugriff auf das gesamte Organisationsdatenset arbeiten können.
Bedrohungsszenarien
Ein kompromittierter externer Server verwendet seine gespeicherten Client-Anmeldeinformationen, um große Datensatzmengen programmgesteuert zu exfiltrieren oder kritische Systemkonfigurationen ohne interaktive Anmeldung oder Multi-Faktor-Authentifizierung zu ändern.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Die Verwendung von überprivilegierten Serviceidentitäten führt zu einer mangelnden individuellen Verantwortlichkeit und kann zu einer umfassenden Datenschutzverletzung führen, wenn die statischen Anmeldeinformationen, die der externen Client-Anwendung zugeordnet sind, abgefangen oder geleakt werden.
Höheres Risiko, wenn
Der Flow für Client-Anmeldeinformationen wird einem Ausführungsbenutzer mit umfassenden administrativen Berechtigungen zugeordnet oder wenn die Integration keine IP-Adresseinschränkungen und keine Anforderungsratenbegrenzung aufweist.
Geringes Risiko, wenn
Wenn das Unternehmen den Flow für Client-Anmeldeinformationen mithilfe eines eindeutigen digitalen Zertifikats durch einen JWT-Bearer-Flow ersetzt oder den Service-Account auf einen stark eingegrenzten Berechtigungssatz und bestimmte Netzwerkbereiche einschränkt.
Überlegungen zu Unternehmen und Integration
Dieser Flow ist zwar für automatisierte Server-zu-Server-Prozesse einfacher zu implementieren, erfordert jedoch einen strengen internen Governance-Prozess, um den Lebenszyklus des Service-Accounts und die zugehörigen Berechtigungen zu verwalten.
Empfohlene Sanierung
Evaluieren Sie die Integrationsarchitektur, um vom Flow für Client-Anmeldeinformationen zu einer sichereren Methode wie dem JWT Bearer-Flow zu wechseln, und stellen Sie sicher, dass alle verbleibenden Serviceaccounts einem dedizierten Ausführungsbenutzer mit dem absolut erforderlichen Mindestzugriff zugewiesen sind.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert diese Richtlinien je nach Integrationsanwendungsfall als dringend empfohlen, da durch das Vermeiden oder strenge Verhärten dieser automatisierten Prozesse sichergestellt werden kann, dass Backend-Systeme mit einer eingeschränkten Identität arbeiten, um Datenmissbrauch in großem Umfang zu verhindern.
