Vous êtes ici :
Configurer des stratégies OAuth : Spécification de profils/ensembles d'autorisations pour le contrôle de l'accès aux applications clientes externes
Ces paramètres de sécurité limitent l'accès à l'application et la visibilité du Lanceur d'application à un sous-ensemble spécifique d'utilisateurs en exigeant une autorisation préalable administrative explicite via des profils et des ensembles d'autorisations attribués.
Nom du contrôle
Applications clientes externes : Configurer des stratégies OAuth : Les utilisateurs approuvés par l'administrateur sont pré-autorisés pour les applications clientes externes et spécifient des profils/ensembles d'autorisations pour l'accès aux applications clientes externes
Configuration recommandée
Préautorisation de l'accès à l'application utilisateur via des stratégies d'application cliente externe : sélectionnez Les utilisateurs approuvés par l'administrateur sont pré-autorisés.
Configuration d'une application cliente externe à afficher dans le Lanceur d'application : sélectionnez Les utilisateurs approuvés par l'administrateur sont pré-autorisés et spécifiez les profils et les ensembles d'autorisations autorisés.
Vue d'ensemble du contrôle
Ces paramètres de sécurité limitent l'accès à l'application et la visibilité du Lanceur d'application à un sous-ensemble spécifique d'utilisateurs en exigeant une autorisation préalable administrative explicite via des profils et des ensembles d'autorisations attribués.
Risque de sécurité s'il n'est pas configuré
L'absence d'autorisation préalable approuvée par l'administrateur et d'ensembles d'autorisations définis réduit la surveillance et l'identification non autorisée des outils organisationnels confidentiels, ce qui augmente le rayon d'explosion potentiel d'une application compromise.
Scénarios de menace
Un utilisateur non autorisé ou un compte compromis identifie et cible dans le Lanceur d'application un outil financier sensible qui était visible dans le monde entier, récupérant ensuite des données parce que la plate-forme n'avait pas de contraintes administratives d'approbation préalable.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Ne pas restreindre l'accès aux applications facilite la prolifération de points d'accès aux données non gérés et permet aux acteurs malveillants d'effectuer une reconnaissance interne pour cartographier l'écosystème logiciel de l'organisation en vue d'une exploitation potentielle.
Risque plus élevé quand
Lorsque l'application permet d'accéder à des données réglementées et est visible par l'ensemble de la force de travail, quel que soit son rôle fonctionnel ou son statut de besoin de savoir vérifié.
Risque faible quand
Si l'entreprise applique un modèle de visibilité restrictif dans lequel les outils sont provisionnés aux utilisateurs uniquement après un contrôle de sécurité formel et l'attribution d'un ensemble d'autorisations spécifique.
Considérations relatives à l'entreprise et à l'intégration
La mise en œuvre de ces contrôles garantit que seules les applications approuvées sont accessibles, mais nécessite un processus administratif établi pour gérer le cycle de vie des attributions de profils et d'ensembles d'autorisations pour la base d'utilisateurs.
Remédiation recommandée
Accédez à Stratégies OAuth pour l'application cliente externe, sélectionnez Les utilisateurs approuvés par l'administrateur sont pré-autorisés, puis ajoutez explicitement les profils et les ensembles d'autorisations autorisés à la stratégie.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la préautorisation administrative comme une norme fortement recommandée pour maintenir un contrôle centralisé sur l'écosystème de l'application et empêcher la découverte non autorisée d'outils métiers confidentiels.
