Вы находитесь здесь:
Настройка политик OAuth: Настройка политик потока регистрационных данных клиента
Это состояние безопасности препятствует использованию потока регистрационных данных клиента в пользу более безопасных, контекстных методов проверки подлинности пользователя.
Управление именем
Приложения внешних клиентов: Настройка политик OAuth: Настройка политик потока регистрационных данных клиента
Рекомендованная конфигурация
Настройка политик потока регистрационных данных клиента.
Общие сведения о контроле
Это состояние безопасности препятствует использованию потока регистрационных данных клиента в пользу более безопасных, контекстных методов проверки подлинности пользователя, чтобы убедиться, что весь доступ к данным связан с конкретным идентифицируемым лицом. Поток регистрационных данных клиента управляет способностью приложений внешних клиентов проверять подлинность и получать маркеры доступа посредством кода и секрета клиента без вмешательства человека.
Риск безопасности, если он не настроен
Использование этого потока создает высокий риск злоупотребления данными, поскольку он пропускает авторизацию на уровне пользователя, позволяя базовым сервисным организациям работать с постоянным автономным доступом ко всему набору данных организации.
Сценарии угроз
Внешний сервер использует сохраненные регистрационные данные клиента для программного извлечения больших объемов записей или изменения критически важных конфигураций системы без интерактивного входа или многофакторной проверки подлинности.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Использование сверхпривилегированных удостоверений службы приводит к отсутствию индивидуальной ответственности и может привести к полномасштабной утечке данных, если статические регистрационные данные, связанные с приложением внешнего клиента, будут перехвачены или утечке.
Повышенный риск при
Поток регистрационных данных клиента соотносится с пользователем выполнения с широкими административными полномочиями или если интеграция не имеет ограничений IP-адресов и ограничения уровня запросов.
Низкий риск при
Если компания заменяет поток регистрационных данных клиента потоком носителя JWT посредством уникального цифрового сертификата или ограничивает учетную запись службой сжатым набором полномочий и определенными диапазонами сети.
Рекомендации по бизнесу и интеграции
Хотя этот процесс легче внедрить для автоматических процессов преобразования сервера в сервер, он требует строгого внутреннего управления для управления жизненным циклом учетной записи обслуживания и связанными с ней полномочиями.
Рекомендованное исправление
Оцените архитектуру интеграции для перехода от потока регистрационных данных клиента к более безопасному методу, например, потоку носителя JWT и убедитесь, что все оставшиеся учетные записи обслуживания назначены специальному пользователю выполнения с абсолютным минимальным обязательным доступом.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет эти политики как настоятельно рекомендованные в зависимости от сценария использования интеграции, поскольку избежание или строгое ужесточение этих автоматических процессов помогает обеспечить работу базовых систем с ограниченной идентификацией во избежание широкомасштабного злоупотребления данными.
