Usted está aquí:
Configurar políticas de OAuth: Políticas de flujo de credenciales y código de OAuth 2.0 para aplicaciones cliente externas
Esta configuración de seguridad define los parámetros operativos específicos y las restricciones de autorización para intercambios de códigos de autorización interactivos y flujos de credenciales de cliente de máquina a máquina automatizados.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Políticas de flujo de credenciales y código de OAuth 2.0 para aplicaciones cliente externas
Configuración recomendada
Configure políticas de flujo de credenciales y código de OAuth 2.0 para aplicaciones cliente externas.
Descripción general de control
Esta configuración de seguridad define los parámetros operativos específicos y las restricciones de autorización para intercambios de códigos de autorización interactivos y flujos de credenciales de cliente de máquina a máquina automatizados para regular cómo se emiten los tokens.
Riesgo de seguridad si no está configurado
La ausencia de políticas específicas de flujo lleva a un mayor riesgo de robo de artefactos de autenticación y adquisición de sesiones no autorizada porque el sistema carece de las barreras granulares necesarias para evitar la explotación de códigos o credenciales interceptados.
Escenarios de amenazas
Un atacante intercepta un código de autorización transitorio o un secreto de cliente estático y lo intercambia correctamente por un token de acceso de privilegios altos porque el extremo no aplica la validación secundaria o el aislamiento estricto del usuario de ejecución.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
La no implementación de estas políticas facilita el emplazamiento de artefactos de autenticación robados en armas, permitiendo potencialmente a los actores no autorizados mantener un acceso persistente al nivel de datos de la organización sin ser detectados por el monitoreo de identidad estándar.
Mayor riesgo cuando
La integración utiliza un amplio ámbito de permisos de datos y carece de controles suplementarios como Clave de prueba para intercambio de códigos (PKCE) o restricciones de red basadas en origen.
Bajo riesgo cuando
Si la compañía exige el uso del flujo de soporte JWT con certificados digitales y aplica un filtrado de direcciones IP estricto para todas las solicitudes de token entrantes.
Consideraciones de negocio e integración
La configuración de estas políticas garantiza que las integraciones externas se adhieran a los estándares de seguridad corporativa, aunque requiere un inventario detallado de las arquitecturas de aplicaciones para asegurarse de que el flujo elegido coincide con las funciones técnicas del cliente.
Remediación recomendada
Vaya a Políticas de OAuth para la aplicación cliente externa y active explícitamente los flujos requeridos mientras asigna un usuario de ejecución exclusivo y con privilegios mínimos para cualquier proceso automatizado.
Directrices de revisión del estado de seguridad
Security Health Review identifica estas políticas como muy recomendadas dependiendo del caso de uso de integración, ya que estos controles ayudan a garantizar que los procesos automatizados backend y las sesiones interactivas funcionan con identidades restringidas para evitar el abuso de datos a gran escala.
