breadcrumbDescription
Konfigurer OAuth-politikker: Forløbspolitikker for OAuth 2.0-kode og legitimationsoplysninger for eksterne klientapps
Denne sikkerhedsindstilling definerer de specifikke driftsmæssige parametre og autorisationsbegrænsninger for både interaktive autorisationskodeudvekslinger og automatiserede forløb for maskin-til-maskinklientlegitimationsoplysninger.
Kontrolnavn
Eksterne klientapps: Konfigurer OAuth-politikker: Forløbspolitikker for OAuth 2.0-kode og legitimationsoplysninger for eksterne klientapps
Anbefalet konfiguration
Konfigurer forløbspolitikker for OAuth 2.0-kode og legitimationsoplysninger for eksterne klientapps.
Kontroller oversigt
Denne sikkerhedsindstilling definerer de specifikke driftsmæssige parametre og autorisationsbegrænsninger for både interaktive autorisationskodeudvekslinger og automatiserede forløb for maskin-til-maskinklientlegitimationsoplysninger for at regulere, hvordan tokener udstedes.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Fraværet af forløbsspecifikke politikker fører til en øget risiko for tyveri af godkendelsesartikler og uautoriseret sessionsovertagelse, fordi systemet mangler de detaljerede hindringer, der er nødvendige for at forhindre udnyttelse af opfangede koder eller legitimationsoplysninger.
Trusselscenarier
En angriber opfanger en midlertidig autorisationskode eller en statisk klienthemmelighed og udveksler den til et adgangstoken med høj rettighed, da slutpunktet ikke gennemtvinger sekundær validering eller strengt kørselsbrugerisolering.
Estimeret CVSS-scoringsinterval
Høj (7,0-8,9).
Overvejelser i forbindelse med risikopåvirkning
Mislykkede implementering af disse politikker gør det nemmere at gøre stjålne godkendelsesartikler til våben, hvilket potentielt tillader uautoriserede aktører at bevare vedvarende adgang til det organisatoriske datalag uden at blive registreret af standardidentitetsovervågning.
Højere risiko når
Integrationen bruger et bredt omfang af datatilladelser og mangler supplerende kontroller som Proof Key for Code Exchange (PKCE) eller kildebaserede netværksbegrænsninger.
Lav risiko når
Hvis firmaet forpligter brugen af JWT Bearer-forløbet med digitale certifikater og håndhæver strengt IP-adressefiltrering for alle indgående tokenanmodninger.
Overvejelser i forbindelse med forretning og integration
Konfiguration af disse politikker sikrer, at tredjepartsintegrationer overholder virksomhedssikkerhedsstandarder, selvom det kræver en detaljeret oversigt over applikationsarkitekturer for at sikre, at det valgte forløb matcher klientens tekniske funktioner.
Anbefalet rettelse
Gå til OAuth-politikker for den eksterne klientapp, og aktiver eksplicit de krævede forløb, mens du tildeler en dedikeret, minimalt rettig kørselsbruger for alle automatiserede processer.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer disse politikker som stærkt anbefalede afhængigt af integrationens anvendelsessituation, da disse kontroller hjælper med at sikre, at backend-automatiserede processer og interaktive sessioner fungerer med begrænsede identiteter for at forhindre misbrug af store data.
