Sie befinden sich hier:
Konfigurieren von OAuth-Richtlinien: Angeben von Profilen/Berechtigungssätzen für den Zugriff auf externe Client-Anwendungen
Diese Sicherheitseinstellungen schränken den Anwendungszugriff und die App Launcher-Sichtbarkeit auf eine bestimmte Teilmenge von Benutzern ein, da eine explizite administrative Vorautorisierung über zugewiesene Profile und Berechtigungssätze erforderlich ist.
Steuerelementname
Externe Client-Anwendungen: Konfigurieren von OAuth-Richtlinien: Vom Administrator genehmigte Benutzer sind für externe Client-Anwendungen vorab autorisiert und geben Profile/Berechtigungssätze für den Zugriff auf externe Client-Anwendungen an
Empfohlene Konfiguration
Vorautorisieren des Benutzeranwendungszugriffs über Richtlinien für externe Client-Anwendungen: Wählen Sie Vom Administrator genehmigte Benutzer sind vorab autorisiert aus.
Konfigurieren Sie eine externe Client-Anwendung, die im App Launcher angezeigt wird. Wählen Sie Vom Administrator genehmigte Benutzer sind vorab autorisiert aus und geben Sie die autorisierten Profile und Berechtigungssätze an.
Steuerelementübersicht
Diese Sicherheitseinstellungen schränken den Anwendungszugriff und die App Launcher-Sichtbarkeit auf eine bestimmte Teilmenge von Benutzern ein, da eine explizite administrative Vorautorisierung über zugewiesene Profile und Berechtigungssätze erforderlich ist.
Sicherheitsrisiko, wenn nicht konfiguriert
Das Fehlen einer vom Administrator genehmigten Vorautorisierung und definierter Berechtigungssätze führt zu einer reduzierten Überwachung und nicht autorisierten Identifizierung sensibler Organisationstools, was den potenziellen Explosionsradius einer kompromittierten Anwendung erhöht.
Bedrohungsszenarien
Ein nicht autorisierter Benutzer oder ein kompromittierter Account identifiziert ein sensibles Finanztool im App Launcher, das global sichtbar war, und zielt darauf ab, später Daten zu erfassen, da die Plattform keine administrativen Einschränkungen für die Vorabgenehmigung aufwies.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn der Anwendungszugriff nicht eingeschränkt wird, wird die Verbreitung nicht verwalteter Datenzugriffspunkte erleichtert und böswillige Akteure können interne Aufklärungsmaßnahmen durchführen, um das Ökosystem der Organisationssoftware für die potenzielle Nutzung abzubilden.
Höheres Risiko, wenn
Wenn die Anwendung Zugriff auf regulierte Daten bietet und für die gesamte Belegschaft sichtbar gemacht wird, unabhängig von ihrer funktionalen Rolle oder ihrem überprüften Kenntnisstand.
Geringes Risiko, wenn
Wenn das Unternehmen ein restriktives Sichtbarkeitsmodell erzwingt, bei dem Tools Benutzern erst nach einer formellen Sicherheitsüberprüfung und der Zuweisung eines bestimmten Berechtigungssatzes bereitgestellt werden.
Überlegungen zu Unternehmen und Integration
Durch das Implementieren dieser Steuerelemente wird sichergestellt, dass nur auf überprüfte Anwendungen zugegriffen werden kann, obwohl ein etablierter Verwaltungsprozess erforderlich ist, um den Lebenszyklus von Profil- und Berechtigungssatzzuweisungen für die Benutzerbasis zu verwalten.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Richtlinien für die externe Client-Anwendung, wählen Sie Vom Administrator genehmigte Benutzer sind vorab autorisiert aus und fügen Sie dann der Richtlinie explizit die autorisierten Profile und Berechtigungssätze hinzu.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die administrative Vorautorisierung als dringend empfohlenen Standard, um die zentrale Kontrolle über das Anwendungsökosystem zu behalten und die unbefugte Entdeckung vertraulicher Geschäftstools zu verhindern.
