Usted está aquí:
Configurar políticas de OAuth: Especificar perfiles/conjuntos de permisos para el acceso al control de aplicaciones cliente externas
Estos parámetros de seguridad restringen el acceso a la aplicación y la visibilidad del Iniciador de aplicación a un subconjunto específico de usuarios requiriendo una autorización previa administrativa explícita a través de conjuntos de permisos y perfiles asignados.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Los usuarios aprobados por el administrador están autorizados previamente para Aplicaciones cliente externas y Especificar perfiles/conjuntos de permisos para acceder a Aplicaciones cliente externas
Configuración recomendada
Autorizar previamente el acceso a la aplicación de usuario a través de políticas de aplicación cliente externas: seleccione Los usuarios aprobados por el administrador están autorizados previamente.
Configurar una aplicación cliente externa para mostrar en el Iniciador de aplicación: seleccione Los usuarios aprobados por el administrador están autorizados previamente y especifique los perfiles y conjuntos de permisos autorizados.
Descripción general de control
Estos parámetros de seguridad restringen el acceso a la aplicación y la visibilidad del Iniciador de aplicación a un subconjunto específico de usuarios requiriendo una autorización previa administrativa explícita a través de conjuntos de permisos y perfiles asignados.
Riesgo de seguridad si no está configurado
La ausencia de autorización previa aprobada por el administrador y conjuntos de permisos definidos conducen a una supervisión reducida e identificación no autorizada de herramientas organizativas confidenciales, lo que aumenta el radio de explosión potencial de una aplicación comprometida.
Escenarios de amenazas
Un usuario no autorizado o una cuenta comprometida identifica y dirige una herramienta financiera confidencial en el Iniciador de aplicación que era visible de forma global, recopilando más tarde datos porque la plataforma carecía de restricciones administrativas de aprobación previa.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El hecho de no restringir el acceso a las aplicaciones facilita la proliferación de puntos de acceso a datos no gestionados y permite a los agentes malintencionados realizar reconocimientos internos para trazar el ecosistema de software de la organización para su posible explotación.
Mayor riesgo cuando
Cuando la aplicación proporciona acceso a datos regulados y está visible para toda la plantilla laboral independientemente de su función funcional o estado de necesidad de saber verificado.
Bajo riesgo cuando
Si la compañía aplica un modelo de visibilidad restrictivo donde las herramientas solo se proporcionan a usuarios después de una revisión de seguridad formal y la asignación de un conjunto de permisos específico.
Consideraciones de negocio e integración
La implementación de estos controles garantiza que solo las aplicaciones examinadas sean accesibles, aunque requiere un proceso administrativo establecido para gestionar el ciclo de vida de asignaciones de perfiles y conjuntos de permisos para la base de usuarios.
Remediación recomendada
Vaya a Políticas de OAuth para la aplicación cliente externa, seleccione Los usuarios aprobados por el administrador están autorizados previamente y luego agregue explícitamente los perfiles y conjuntos de permisos autorizados a la política.
Directrices de revisión del estado de seguridad
Security Health Review identifica la autorización previa administrativa como un estándar altamente recomendado para mantener el control centralizado sobre el ecosistema de aplicaciones y evitar el descubrimiento no autorizado de herramientas de negocio confidenciales.
