Du är här:
Konfigurera OAuth-policyer: OAuth 2.0-kod och inloggningsuppgifter för externa klientappar
Denna säkerhetsinställning definierar de specifika driftsparametrarna och auktoriseringsbegränsningarna för både interaktiva utbyten av auktoriseringskoder och automatiserade maskin-till-maskin-klientinloggningflöden.
Kontrollnamn
Externa klientappar: Konfigurera OAuth-policyer: OAuth 2.0-kod och inloggningsuppgifter för externa klientappar
Rekommenderad konfiguration
Konfigurera OAuth 2.0-kod och inloggningsuppgifter för externa klientappar.
Kontrollöversikt
Denna säkerhetsinställning definierar de specifika driftsparametrarna och auktoriseringsbegränsningarna för både interaktiva utbyten av auktoriseringskoder och automatiserade klientinloggningsuppgifter för maskin till maskin för att reglera hur tokens utfärdas.
Säkerhetsrisk om den inte är konfigurerad
Frånvaron av flödesspecifika policyer leder till en ökad risk för stöld av autentiseringsartefakter och obehörig sessionsförvärv eftersom systemet inte har de detaljerade hinder som krävs för att förhindra utnyttjandet av avlyssnade koder eller inloggningsuppgifter.
Hotscenarier
En attackerare fångar upp en tillfällig auktoriseringskod eller en statisk klienthemlighet och byter ut den mot en åtkomsttoken med hög behörighet eftersom slutpunkten inte tillämpar sekundär validering eller strikt körning av användarisolering.
Uppskattat CVSS-betygintervall
Hög (7,0-8,9).
Att tänka på vad gäller riskpåverkan
Att misslyckas med att implementera dessa policyer underlättar vapenanvändningen av stulna autentiseringsartefakter, vilket potentiellt låter oauktoriserade aktörer upprätthålla beständig åtkomst till organisationsdatanivån utan att upptäckas av standardidentitetsövervakning.
Högre risk när
Integreringen använder ett brett spektrum av databehörigheter och saknar ytterligare kontroller som Proof Key for Code Exchange (PKCE) eller källbaserade nätverksbegränsningar.
Låg risk när
Om företaget kräver användning av JWT-bärarflödet med digitala certifikat och tillämpar strikt IP-adressfiltrering för alla inkommande tokenbegäranden.
Att tänka på vad gäller affärer och integration
Att konfigurera dessa policyer säkerställer att integreringar från tredje part följer företagets säkerhetsstandarder, men det kräver en detaljerad inventering av programarkitekturer för att säkerställa att det valda flödet matchar klientens tekniska kapacitet.
Rekommenderad åtgärd
Gå till OAuth-policyer för den externa klientappen och slå uttryckligen på de flöden som behövs medan du tilldelar en dedikerad, minimalt privilegierad körningsanvändare för automatiserade processer.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning identifierar dessa policyer som starkt rekommenderade beroende på integreringsanvändningsfallet, eftersom dessa kontroller hjälper till att säkerställa att automatiserade backendprocesser och interaktiva sessioner fungerar med begränsade identiteter för att förhindra datamissbruk i stor skala.
