Du er her:
Konfigurere OAuth-policyer: OAuth 2.0-kode- og legitimasjonsflytpolicyer for eksterne klientapper
Denne sikkerhetsinnstillingen definerer de spesifikke driftsparameterne og godkjenningsbegrensningene for både interaktive godkjenningskodeutvekslinger og automatiserte maskin-til-maskin-legitimasjonsflyter for klienter.
Navn på kontroll
Eksterne klientapper: Konfigurere OAuth-policyer: OAuth 2.0-kode- og legitimasjonsflytpolicyer for eksterne klientapper
Anbefalt konfigurasjon
Konfigurer OAuth 2.0-kode- og legitimasjonsflytpolicyer for eksterne klientapper.
Oversikt over kontroll
Denne sikkerhetsinnstillingen definerer de spesifikke driftsparameterne og godkjenningsbegrensningene for både interaktive godkjenningskodeutvekslinger og automatiserte maskin-til-maskin-legitimasjonsflyter for å regulere hvordan tokener utstedes.
Sikkerhetsrisiko hvis ikke konfigurert
Fraværet av flytspesifikke policyer fører til en økt risiko for tyveri av godkjenningsartikkel og uautorisert øktkjøp fordi systemet mangler de detaljerte barrierene som er nødvendige for å hindre utnyttelse av oppfangede koder eller legitimasjon.
Trusselscenarier
En angriper fanger opp en midlertidig godkjenningskode eller en statisk klienthemmelighet og utveksler den vellykket mot et tilgangstoken med høy rettigheter fordi endepunktet ikke håndhever sekundær validering eller streng utførelsesbrukerisolering.
Beregnet CVSS Score-område
Høyt (7.0–8,9).
Viktige punkter om risikoinnvirkning
Mislykket implementering av disse policyene forenkler våpenisering av stjålne godkjenningsartikler, noe som potensielt tillater uautoriserte aktører å opprettholde vedvarende tilgang til det organisatoriske datalaget uten å bli oppdaget av standard identitetsovervåking.
Høyere risiko når
Integrasjonen bruker et bredt spekter av datatillatelser og mangler supplerende kontroller som Proof Key for Code Exchange (PKCE) eller kildebaserte nettverksrestriksjoner.
Lav risiko når
Hvis firmaet krever bruk av JWT-bærervognen med digitale sertifikater og håndhever streng IP-adressefiltrering for alle innkommende tokenforespørsler.
Viktige punkter om virksomheten og integrasjonen
Konfigurering av disse policyene sikrer at tredjeparts integrasjoner overholder firmaets sikkerhetsstandarder, men det kreves en detaljert oversikt over programarkitekturer for å sikre at den valgte flyten samsvarer med klientens tekniske egenskaper.
Anbefalt rettelse
Gå til OAuth-policyene for den eksterne klientappen, og slå eksplisitt på de nødvendige flytene mens du tildeler en dedikert, minimalt privilegert utførelsesbruker for eventuelle automatiserte prosesser.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering identifiserer disse policyene som sterkt anbefalt avhengig av integrasjonsbruksområdet, fordi disse kontrollene bidrar til å sikre at automatiserte serverdelprosesser og interaktive økter opererer med begrensede identiteter for å hindre misbruk av data i stor skala.
