Вы находитесь здесь:
Настройка политик OAuth: Код OAuth 2.0 и политики потока регистрационных данных для управления приложениями внешних клиентов
Этот параметр безопасности определяет конкретные операционные параметры и ограничения авторизации как для интерактивных обменов кодами авторизации, так и для автоматических межмашинных потоков регистрационных данных клиента.
Управление именем
Приложения внешних клиентов: Настройка политик OAuth: Код OAuth 2.0 и политики потока регистрационных данных для приложений внешних клиентов
Рекомендованная конфигурация
Настройте код OAuth 2.0 и политики потока регистрационных данных для приложений внешних клиентов.
Общие сведения о контроле
Этот параметр безопасности определяет конкретные операционные параметры и ограничения авторизации как для интерактивных обменов кодами авторизации, так и для автоматических межмашинных потоков регистрационных данных клиентов для регулирования порядка выпуска маркеров.
Риск безопасности, если он не настроен
Отсутствие политик, характерных для конкретных потоков, приводит к повышению риска кражи артефактов проверки подлинности и несанкционированного приобретения сеансов, поскольку система не имеет детальных барьеров, необходимых для предотвращения использования перехваченных кодов или регистрационных данных.
Сценарии угроз
Злоумышленник перехватывает временный код авторизации или статический секрет клиента и успешно обменивает его на маркер доступа с высокими правами, поскольку конечная точка не применяет дополнительную проверку или изоляцию пользователя строгого выполнения.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Невыполнение этой политики способствует размещению похищенных артефактов проверки подлинности в оружии, что потенциально позволяет неавторизованным субъектам сохранять постоянный доступ к организационному уровню данных, не обнаруживаясь при стандартном мониторинге подлинности.
Повышенный риск при
Интеграция использует широкий диапазон полномочий данных и не содержит дополнительных элементов управления, например, ключ подтверждения для обмена кодами (PKCE) или ограничения сети на основе источников.
Низкий риск при
Если компания предписывает использование потока носителей JWT с цифровыми сертификатами и применяет строгую фильтрацию IP-адресов для всех входящих запросов маркеров.
Рекомендации по бизнесу и интеграции
Настройка этих политик обеспечивает соответствие сторонних интеграций корпоративным стандартам безопасности, хотя требует подробного запаса архитектур приложений, чтобы убедиться, что выбранный поток соответствует техническим возможностям клиента.
Рекомендованное исправление
Перейдите в Политики OAuth для приложения внешнего клиента и четко включите обязательные потоки, назначив выделенного пользователя с минимальными привилегиями выполнения для любых автоматических процессов.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет эти политики как настоятельно рекомендованные, в зависимости от сценария использования интеграции, поскольку эти средства управления помогают обеспечить работу базовых автоматических процессов и интерактивных сеансов с ограниченными удостоверениями во избежание широкомасштабного злоупотребления данными.
