U bent hier:
OAuth-beleidsvormen configureren: OAuth 2.0-stroombeleid voor code en inloggegevens voor externe clientapps
Deze beveiligingsinstelling definieert de specifieke operationele parameters en autorisatiebeperkingen voor zowel interactieve autorisatiecodeuitwisselingen als geautomatiseerde stromen voor clientinloggegevens van machine naar machine.
Controlenaam
Externe clientapps: OAuth-beleidsvormen configureren: OAuth 2.0-stroombeleid voor code en inloggegevens voor externe clientapps
Aanbevolen configuratie
Configureer OAuth 2.0-beleidsvormen voor code- en inloggegevensstromen voor externe clientapps.
Overzicht van besturingselementen
Deze beveiligingsinstelling definieert de specifieke operationele parameters en autorisatiebeperkingen voor zowel interactieve uitwisselingen van autorisatiecode als geautomatiseerde stromen van clientinloggegevens van machine naar machine om te bepalen hoe tokens worden uitgegeven.
Beveiligingsrisico indien niet geconfigureerd
Het ontbreken van stroomspecifiek beleid leidt tot een verhoogd risico op diefstal van authenticatie-artefacten en ongeoorloofde sessieverwerving, omdat het systeem niet over de fijnmazige belemmeringen beschikt die nodig zijn om misbruik van onderschepte codes of inloggegevens te voorkomen.
Dreigingsscenario's
Een aanvaller onderschept een tijdelijke autorisatiecode of een statisch clientgeheim en wisselt deze met succes in voor een toegangstoken met hoge machtigingen, omdat het eindpunt geen secundaire validatie of strikte gebruikersisolatie voor uitvoering afdwingt.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als u deze beleidsvormen niet implementeert, wordt het wapenen van gestolen authenticatie-artefacten vergemakkelijkt, waardoor niet-geverifieerde actoren mogelijk permanente toegang tot de gegevenslaag van de organisatie kunnen behouden zonder te worden gedetecteerd door standaard identiteitsbewaking.
Hoger risico wanneer
De integratie gebruikt een breed scala aan gegevensmachtigingen en mist aanvullende besturingselementen zoals Proof Key for Code Exchange (PKCE) of op bron gebaseerde netwerkbeperkingen.
Laag risico wanneer
Als het bedrijf het gebruik van de JWT-bearerstroom met digitale certificaten verplicht stelt en strikte IP-adresfiltering afdwingt voor alle inkomende tokenaanvragen.
Overwegingen bij bedrijf en integratie
Het configureren van deze beleidsvormen zorgt ervoor dat integraties van derden voldoen aan bedrijfsbeveiligingsnormen, hoewel het een gedetailleerde inventarisatie van toepassingsarchitecturen vereist om ervoor te zorgen dat de gekozen stroom overeenkomt met de technische mogelijkheden van de client.
Aanbevolen oplossing
Ga naar de OAuth-beleidsvormen voor de externe clientapp en schakel expliciet de vereiste stromen in terwijl u een speciale, minimaal geprivilegieerde uitvoeringsgebruiker toewijst voor alle geautomatiseerde processen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert deze beleidsvormen als sterk aanbevolen, afhankelijk van de integratiegebruikscase, aangezien deze besturingselementen helpen ervoor te zorgen dat back-end geautomatiseerde processen en interactieve sessies werken met beperkte identiteiten om grootschalig gegevensmisbruik te voorkomen.
