Sie befinden sich hier:
Konfigurieren von OAuth-Richtlinien: OAuth 2.0-Flow-Richtlinien für Code und Anmeldeinformationen für externe Client-Anwendungen
Diese Sicherheitseinstellung definiert die spezifischen Betriebsparameter und Autorisierungseinschränkungen für den Austausch interaktiver Autorisierungscodes und automatisierter Flows für Client-Anmeldeinformationen von Maschine zu Maschine.
Steuerelementname
Externe Client-Anwendungen: Konfigurieren von OAuth-Richtlinien: OAuth 2.0-Flow-Richtlinien für Code und Anmeldeinformationen für externe Client-Anwendungen
Empfohlene Konfiguration
Konfigurieren Sie Flow-Richtlinien für OAuth 2.0-Code und Anmeldeinformationen für externe Client-Anwendungen.
Steuerelementübersicht
Diese Sicherheitseinstellung definiert die spezifischen Betriebsparameter und Autorisierungseinschränkungen für den Austausch interaktiver Autorisierungscodes und automatisierter Flows für Client-Anmeldeinformationen von Maschine zu Maschine, um zu regeln, wie Token ausgestellt werden.
Sicherheitsrisiko, wenn nicht konfiguriert
Das Fehlen von Flow-spezifischen Richtlinien führt zu einem erhöhten Risiko von Authentifizierungsartefaktdiebstahl und nicht autorisierter Sitzungserfassung, da das System nicht über die erforderlichen detaillierten Barrieren verfügt, um die Ausnutzung abgefangener Codes oder Anmeldeinformationen zu verhindern.
Bedrohungsszenarien
Ein Angreifer fängt einen temporären Autorisierungscode oder ein statisches Client-Geheimnis ab und tauscht ihn erfolgreich gegen ein Zugriffstoken mit hohen Berechtigungen aus, da der Endpunkt keine sekundäre Validierung oder strenge Benutzerisolation bei der Ausführung erzwingt.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn diese Richtlinien nicht implementiert werden, wird die Waffelisierung gestohlener Authentifizierungsartefakte erleichtert, wodurch nicht autorisierte Akteure möglicherweise dauerhaften Zugriff auf die Organisationsdatenebene behalten können, ohne von der standardmäßigen Identitätsüberwachung erkannt zu werden.
Höheres Risiko, wenn
Die Integration verwendet einen breiten Umfang an Datenberechtigungen und es fehlen zusätzliche Steuerelemente wie "Proof Key for Code Exchange (PKCE)" oder quellbasierte Netzwerkeinschränkungen.
Geringes Risiko, wenn
Wenn das Unternehmen die Verwendung des JWT-Bearer-Flows mit digitalen Zertifikaten vorschreibt und eine strenge IP-Adressfilterung für alle eingehenden Tokenanforderungen erzwingt.
Überlegungen zu Unternehmen und Integration
Durch das Konfigurieren dieser Richtlinien wird sichergestellt, dass Drittanbieterintegrationen die Sicherheitsstandards des Unternehmens einhalten. Es ist jedoch ein detailliertes Inventar der Anwendungsarchitekturen erforderlich, um sicherzustellen, dass der ausgewählte Flow den technischen Funktionen des Clients entspricht.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Richtlinien für die externe Client-Anwendung und aktivieren Sie explizit die erforderlichen Flows, während Sie einen dedizierten Benutzer mit minimalen Berechtigungen für die Ausführung für automatisierte Prozesse zuweisen.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert diese Richtlinien je nach Integrationsanwendungsfall als dringend empfohlen, da diese Steuerelemente sicherstellen, dass automatisierte Backend-Prozesse und interaktive Sitzungen mit eingeschränkten Identitäten funktionieren, um Datenmissbrauch im großen Umfang zu verhindern.
