Você está aqui:
Configurar políticas do OAuth: Políticas de fluxo de credencial e código do OAuth 2.0 para aplicativos cliente externos
Essa configuração de segurança define os parâmetros operacionais específicos e as restrições de autorização para trocas de código de autorização interativas e fluxos automatizados de credenciais de cliente de máquina para máquina.
Nome do controle
Aplicativos cliente externos: Configurar políticas do OAuth: Políticas de fluxo de credencial e código do OAuth 2.0 para aplicativos cliente externos
Configuração recomendada
Configure as políticas de código e fluxo de credencial do OAuth 2.0 para aplicativos cliente externos.
Visão geral de controle
Essa configuração de segurança define os parâmetros operacionais específicos e as restrições de autorização para trocas de código de autorização interativas e fluxos automatizados de credenciais de cliente de máquina para máquina para regular como os tokens são emitidos.
Risco de segurança, se não configurado
A ausência de políticas específicas do fluxo leva a um maior risco de roubo de artefato de autenticação e aquisição de sessão não autorizada porque o sistema não tem as barreiras granulares necessárias para evitar a exploração de códigos ou credenciais interceptados.
Cenários de ameaça
Um invasor intercepta um código de autorização temporário ou um segredo do cliente estático e o troca com sucesso por um token de acesso de alto privilégio, pois o ponto de extremidade não impõe validação secundária ou isolamento de usuário de execução rígida.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A falha na implementação dessas políticas facilita a armacionamento de artefatos de autenticação roubados, possivelmente permitindo que atores não autorizados mantenham acesso persistente ao nível de dados organizacional sem serem detectados pelo monitoramento de identidade padrão.
Risco maior quando
A integração usa um amplo escopo de permissões de dados e não tem controles suplementares, como Chave de comprovação para troca de código (PKCE) ou restrições de rede baseadas em origem.
Baixo risco quando
Se a empresa exigir o uso do fluxo portador JWT com certificados digitais e impor a filtragem de endereço IP rígida para todas as solicitações de token recebidas.
Considerações de negócios e integração
Configurar essas políticas garante que as integrações de terceiros cumpram os padrões de segurança corporativa, embora exija um inventário detalhado de arquiteturas de aplicativo para garantir que o fluxo escolhido corresponda aos recursos técnicos do cliente.
Remediação recomendada
Acesse Políticas do OAuth para o aplicativo cliente externo e ative explicitamente os fluxos obrigatórios enquanto atribui um usuário de execução dedicado e com privilégio mínimo para qualquer processo automatizado.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica essas políticas como altamente recomendadas dependendo do caso de uso de integração, pois esses controles ajudam a garantir que processos automatizados de back-end e sessões interativas operem com identidades restritas para evitar o uso indevido de dados em grande escala.
