Vous êtes ici :
Configurer des stratégies OAuth : Stratégies de flux Code et identifiants OAuth 2.0 pour le contrôle des applications clientes externes
Ce paramètre de sécurité définit les paramètres opérationnels et les contraintes d'autorisation spécifiques pour les échanges interactifs de codes d'autorisation et les flux automatisés d'identifiants client de machine à machine.
Nom du contrôle
Applications clientes externes : Configurer des stratégies OAuth : Stratégies de flux Code et identifiants OAuth 2.0 pour les applications clientes externes
Configuration recommandée
Configurez des stratégies de flux Code et identifiants OAuth 2.0 pour des applications clientes externes.
Vue d'ensemble du contrôle
Ce paramètre de sécurité définit les paramètres opérationnels et les contraintes d'autorisation spécifiques pour les échanges interactifs de codes d'autorisation et les flux automatisés d'identifiants client machine à machine afin de réguler l'émission des jetons.
Risque de sécurité s'il n'est pas configuré
L'absence de politiques spécifiques au flux entraîne un risque accru de vol d'artefacts d'authentification et d'acquisition de session non autorisée, car le système ne dispose pas des barrières granulaires nécessaires pour empêcher l'exploitation des codes ou identifiants interceptés.
Scénarios de menace
Un assaillant intercepte un code d'autorisation transitoire ou un secret client statique et l'échange avec succès contre un jeton d'accès à privilège élevé, car le point de terminaison n'applique pas la validation secondaire ou l'isolation stricte de l'utilisateur d'exécution.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
La non-application de ces politiques facilite l'armement des artefacts d'authentification volés, ce qui peut permettre à des acteurs non autorisés de maintenir un accès permanent au niveau de données organisationnel sans être détectés par la surveillance de l'identité standard.
Risque plus élevé quand
L'intégration utilise un large éventail d'autorisations de données et ne dispose pas de contrôles supplémentaires tels que Clé de vérification pour l'échange de code (PKCE) ou des restrictions réseau basées sur la source.
Risque faible quand
Si l'entreprise impose l'utilisation du flux de porteur JWT avec des certificats numériques et applique un filtrage strict des adresses IP pour toutes les requêtes de jeton entrantes.
Considérations relatives à l'entreprise et à l'intégration
La configuration de ces stratégies garantit que les intégrations tierces respectent les normes de sécurité de l'entreprise, mais nécessite un inventaire détaillé des architectures d'application pour s'assurer que le flux choisi correspond aux capacités techniques du client.
Remédiation recommandée
Accédez aux Stratégies OAuth pour l'application cliente externe et activez explicitement les flux requis tout en attribuant un utilisateur d'exécution dédié et à privilège minimal pour tous les processus automatisés.
Guide d'examen sanitaire de sécurité
Security Health Review identifie ces stratégies comme fortement recommandées en fonction du cas d'utilisation de l'intégration, car ces contrôles permettent de s'assurer que les processus automatisés back-end et les sessions interactives fonctionnent avec des identités restreintes afin d'éviter les abus de données à grande échelle.
