詳細情報:
OAuth ポリシーの設定: 外部クライアントアプリケーション制御用の OAuth 2.0 コードおよびログイン情報フローポリシー
このセキュリティ設定では、対話型の認証コード交換と自動化されたマシン間のクライアントログイン情報フローの両方の特定の操作パラメーターと認証制約を定義します。
コントロール名
外部クライアントアプリケーション: OAuth ポリシーの設定: 外部クライアントアプリケーションの OAuth 2.0 コードおよびログイン情報フローポリシー
推奨設定
外部クライアントアプリケーションの OAuth 2.0 コードおよびログイン情報フローポリシーを設定します。
制御の概要
このセキュリティ設定では、トークンの発行方法を規制するために、対話型認証コード交換と自動マシン間クライアントログイン情報フローの両方に特定の操作パラメーターと認証制約を定義します。
設定されていない場合のセキュリティリスク
フロー固有のポリシーがない場合、傍受されたコードやログイン情報が悪用されないようにするために必要な詳細な障壁がシステムにないため、認証アーティファクトの盗難や不正なセッション取得のリスクが高まります。
脅威のシナリオ
エンドポイントは二次検証や厳格な実行ユーザーの分離を適用しないため、攻撃者は一時的な認証コードまたは静的クライアントの秘密を傍受し、高権限アクセストークンと交換します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
これらのポリシーを実装しないと、盗まれた認証アーティファクトの兵器化が促進され、未承認のアクターが標準の ID 監視に検出されずに組織データ層への永続的なアクセスを維持できる可能性があります。
より高いリスク
インテグレーションでは広範なデータ権限が使用され、Proof Key for Code Exchange (PKCE) やソースベースのネットワーク制限などの追加制御がありません。
低リスク
会社がデジタル証明書を使用した JWT ベアラーフローの使用を義務付け、すべての受信トークン要求に厳格な IP アドレス制限を適用している場合。
ビジネスと統合に関する考慮事項
これらのポリシーを設定すると、サードパーティインテグレーションが企業のセキュリティ標準に準拠するようになりますが、選択したフローがクライアントの技術的能力に一致するようにアプリケーションアーキテクチャの詳細なインベントリを作成する必要があります。
推奨される修復
[外部クライアントアプリケーションの OAuth ポリシー] に移動して、自動化プロセスに最小限の権限を持つ専用の実行ユーザーを割り当てながら、必要なフローを明示的に有効にします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、インテグレーションの使用事例に応じて、これらのポリシーを強く推奨します。これは、大規模なデータの悪用を防ぐために、バックエンドの自動化プロセスと対話型セッションが制限された ID で動作していることを確認するのに役立ちます。
