Usted está aquí:
Configurar políticas de OAuth: Políticas de flujo de código y credenciales de OAuth 2.0 para aplicaciones cliente externas
Esta configuración de seguridad define los parámetros operativos específicos y las restricciones de autorización tanto para intercambios de códigos de autorización interactivos como flujos de credenciales de cliente de máquina a máquina automatizados.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Políticas de flujo de código y credenciales de OAuth 2.0 para aplicaciones cliente externas
Configuración recomendada
Configure políticas de flujo de código y credenciales de OAuth 2.0 para aplicaciones cliente externas.
Descripción general de control
Esta configuración de seguridad define los parámetros operativos específicos y las restricciones de autorización tanto para intercambios de códigos de autorización interactivos como flujos de credenciales de cliente de máquina a máquina automatizados para regular cómo se emiten los tokens.
Riesgo de seguridad si no está configurado
La ausencia de políticas específicas de flujo conduce a un mayor riesgo de robo de artefactos de autenticación y adquisición de sesiones no autorizada porque el sistema carece de las barreras granulares necesarias para evitar la explotación de códigos o credenciales interceptados.
Escenarios de amenazas
Un atacante intercepta un código de autorización transitorio o un secreto de cliente estático y lo intercambia correctamente por un token de acceso de privilegios altos porque el extremo no aplica validación secundaria o aislamiento de usuario de ejecución estricto.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
La no implementación de estas políticas facilita el emplazamiento de armas de artefactos de autenticación robados, permitiendo posiblemente a agentes no autorizados mantener un acceso persistente al nivel de datos de la organización sin ser detectados por la supervisión de identidad estándar.
Riesgo más alto cuando
La integración utiliza un amplio ámbito de permisos de datos y carece de controles adicionales como Clave de prueba para intercambio de códigos (PKCE) o restricciones de red basadas en origen.
Bajo riesgo cuando
Si la empresa exige el uso del flujo de soporte JWT con certificados digitales y aplica un filtrado estricto de direcciones IP para todas las solicitudes de token entrantes.
Consideraciones comerciales y de integración
La configuración de estas políticas garantiza que las integraciones externas se adhieran a los estándares de seguridad corporativa, aunque requiere un inventario detallado de las arquitecturas de aplicaciones para asegurarse de que el flujo elegido coincide con las capacidades técnicas del cliente.
Remediación recomendada
Vaya a Políticas de OAuth para la aplicación cliente externa y active explícitamente los flujos requeridos mientras asigna un usuario de ejecución exclusivo y con privilegios mínimos para cualquier proceso automatizado.
Directrices de revisión del estado de seguridad
Security Health Review identifica estas políticas como altamente recomendadas dependiendo del caso de uso de integración, ya que estos controles ayudan a garantizar que los procesos automatizados backend y las sesiones interactivas funcionan con identidades restringidas para evitar el abuso de datos a gran escala.
