Ti trovi qui:
Configurazione delle policy OAuth: Policy sui flussi di codice e credenziali OAuth 2.0 per le app client esterne
Questa impostazione di protezione definisce i parametri operativi specifici e i vincoli di autorizzazione sia per gli scambi interattivi di codice di autorizzazione che per i flussi di credenziali client machine-to-machine automatiche.
Nome controllo
App client esterne: Configurazione delle policy OAuth: Policy sui flussi di codice e credenziali OAuth 2.0 per le app client esterne
Configurazione consigliata
Configurare le policy sui flussi di codice e credenziali OAuth 2.0 per le app client esterne.
Panoramica sul controllo
Questa impostazione di protezione definisce i parametri operativi specifici e i vincoli di autorizzazione sia per gli scambi interattivi di codici di autorizzazione che per i flussi di credenziali client machine-to-machine automatiche per regolare la modalità di emissione dei token.
Rischio per la sicurezza se non configurato
L'assenza di policy specifiche del flusso comporta un rischio maggiore di furto di artefatti di autenticazione e acquisizione di sessioni non autorizzate poiché il sistema non dispone delle barriere granulari necessarie per impedire lo sfruttamento di codici o credenziali intercettati.
Scenari di minaccia
Un aggressore intercetta un codice di autorizzazione temporaneo o un segreto client statico e lo scambia correttamente con un token di accesso con privilegi elevati poiché l'endpoint non impone una convalida secondaria o un rigoroso isolamento dell'utente dell'esecuzione.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata implementazione di queste policy facilita l'armamento degli artefatti di autenticazione rubati, consentendo potenzialmente agli attori non autorizzati di mantenere un accesso persistente al livello di dati dell'organizzazione senza essere rilevati dal monitoraggio dell'identità standard.
Rischio maggiore quando
L'integrazione utilizza un ampio ambito di autorizzazioni dati e manca di controlli aggiuntivi come Proof Key for Code Exchange (PKCE) o restrizioni di rete basate sulla fonte.
Basso rischio quando
Se la società impone l'uso del flusso bearer JWT con certificati digitali e applica un rigoroso filtro degli indirizzi IP per tutte le richieste di token in entrata.
Considerazioni su Business e integrazione
La configurazione di queste policy garantisce che le integrazioni di terze parti rispettino gli standard di sicurezza aziendali, anche se richiede un inventario dettagliato delle architetture delle applicazioni per assicurarsi che il flusso scelto corrisponda alle funzionalità tecniche del client.
Rimedio consigliato
Accedere alle policy OAuth per l'app client esterna e attivare esplicitamente i flussi richiesti assegnando un utente esecuzione dedicato con privilegi minimi per tutti i processi automatici.
Guida all'esame dello stato della sicurezza
Security Health Review identifica queste policy come fortemente consigliate a seconda del caso d'uso dell'integrazione, poiché questi controlli consentono di assicurarsi che i processi automatizzati di backend e le sessioni interattive funzionino con identità limitate per evitare abusi dei dati su larga scala.
