U bent hier:
OAuth-beleidsvormen configureren: Stroombeleidsvormen voor clientinloggegevens configureren
Deze beveiligingsstatus ontmoedigt het gebruik van de stroom Client Credentials ten gunste van veiligere, op gebruikerscontext gebaseerde authenticatiemethoden.
Controlenaam
Externe clientapps: OAuth-beleidsvormen configureren: Stroombeleidsvormen voor clientinloggegevens configureren
Aanbevolen configuratie
Stroombeleidsvormen voor clientinloggegevens configureren.
Overzicht van besturingselementen
Deze beveiligingsstatus ontmoedigt het gebruik van de stroom Client Credentials (Cliëntgegevens) ten gunste van veiligere, op gebruikerscontext gebaseerde authenticatiemethoden om ervoor te zorgen dat alle gegevenstoegang is gekoppeld aan een specifiek identificeerbaar individu. De stroom Clientgegevens beheert de mogelijkheid van Externe clientapps om toegangstokens te authenticeren en te verkrijgen met behulp van een client-ID en geheim zonder menselijke tussenkomst.
Beveiligingsrisico indien niet geconfigureerd
Het gebruik van deze stroom creëert een hoog risico op gegevensmisbruik omdat het autorisatie op gebruikersniveau omzeilt, waardoor back-endserviceaccounts kunnen werken met aanhoudende, autonome toegang tot de gehele organisatorische gegevensset.
Dreigingsscenario's
Een gecompromitteerde externe server gebruikt de opgeslagen clientinloggegevens ervan om programmatisch enorme volumes records te exfiltreren of kritieke systeemconfiguraties te wijzigen zonder interactief inloggen of multi-factorenauthenticatie.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het gebruik van service-identiteiten met te veel rechten leidt tot een gebrek aan individuele verantwoordelijkheid en kan leiden tot een grootschalige gegevensinbreuk als de statische inloggegevens die zijn gekoppeld aan de externe clientapp, worden onderschept of gelekt.
Hoger risico wanneer
De clientinloggegevensstroom wordt toegewezen aan een uitvoeringsgebruiker met brede beheermachtigingen of wanneer de integratie geen IP-adresbeperkingen en beperking van verzoeksnelheid heeft.
Laag risico wanneer
Als het bedrijf de stroom voor clientinloggegevens vervangt door een JWT-bearerstroom met behulp van een uniek digitaal certificaat of de serviceaccount beperkt tot een sterk beperkte machtigingenset en specifieke netwerkbereiken.
Overwegingen bij bedrijf en integratie
Hoewel deze stroom gemakkelijker te implementeren is voor geautomatiseerde server-naar-serverprocessen, vereist deze een rigoureus intern governanceproces om de levenscyclus van de serviceaccount en de bijbehorende machtigingen te beheren.
Aanbevolen oplossing
Evalueer de integratiearchitectuur om over te stappen van de stroom voor clientinloggegevens naar een veiligere methode zoals de JWT-bearerstroom en zorg ervoor dat alle resterende serviceaccounts worden toegewezen aan een specifieke uitvoeringsgebruiker met de absoluut minimaal vereiste toegang.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert deze beleidsvormen als sterk aanbevolen, afhankelijk van de integratiegebruikscase, aangezien het vermijden of strikt verharden van deze geautomatiseerde processen helpt ervoor te zorgen dat back-endsystemen werken met een beperkte identiteit om op grote schaal gegevensmisbruik te voorkomen.
