OAuth 정책 구성: 외부 클라이언트 앱에 액세스하기 위한 프로필/권한 집합 지정

제어 이름

외부 클라이언트 앱: OAuth 정책 구성: 관리자 승인 사용자가 외부 클라이언트 앱에 대한 미리 권한 부여 및 외부 클라이언트 앱에 대한 프로필/권한 집합 지정

권장 구성

외부 클라이언트 앱 정책을 통해 사용자 앱 액세스 미리 권한 부여 - 관리자 승인 사용자가 미리 권한 부여됨을 선택합니다.

앱 시작 관리자에 표시할 외부 클라이언트 앱 구성 - 관리자 승인 사용자가 미리 인증됨을 선택하고 인증된 프로필 및 권한 집합을 지정합니다.

제어 개요

이러한 보안 설정은 할당된 프로필 및 권한 집합을 통해 명시적 관리 사전 인가를 요구하여 응용 프로그램 액세스 및 앱 시작 관리자 가시성을 특정 사용자 하위 집합으로 제한합니다.

구성되지 않은 경우 보안 위험

관리자가 승인한 사전 인가 및 정의된 권한 집합이 없을 경우 민감한 조직 도구의 감독 및 무단 식별이 감소하여 위반된 응용 프로그램의 잠재적인 폭발 반경이 증가합니다.

위협 시나리오

무단 사용자 또는 손상된 계정이 앱 시작 관리자에서 전역적으로 표시되는 민감한 금융 도구를 식별하고 대상으로 지정하여 플랫폼에 관리 사전 승인 제약이 없으므로 나중에 데이터를 수집합니다.

예상 CVSS 점수 범위

높음(7.0~8.9)

위험 영향 고려 사항

응용 프로그램 액세스를 제한하지 못하면 비관리 데이터 액세스 지점이 확산되고 악의적인 작업자가 내부 인사이트를 수행하여 잠재적인 활용을 위해 조직 소프트웨어 에코시스템을 매핑할 수 있습니다.

위험이 높은 경우

응용 프로그램이 규제된 데이터에 대한 액세스 권한을 제공하고 기능적 역할 또는 확인된 지식 필요 상태에 관계없이 전체 직원에게 표시되는 경우

낮은 위험 시기

회사에서 공식적인 보안 검토 및 특정 권한 집합 할당 후에만 사용자에게 도구를 프로비저닝하는 제한 가시성 모델을 적용하는 경우

비즈니스 및 통합 고려 사항

이러한 제어를 구현하면 검사된 응용 프로그램만 액세스할 수 있지만, 사용자 기반의 프로필 및 권한 집합 할당 수명 주기를 관리하기 위해 설정된 관리 프로세스가 필요합니다.

권장 수정

외부 클라이언트 앱의 OAuth 정책으로 이동하여 관리자 승인 사용자가 미리 권한 부여됨을 선택한 다음 명시적으로 권한 부여 프로필 및 권한 집합을 정책에 추가합니다.

보안 상태 검토 지침

보안 상태 검토는 응용 프로그램 에코시스템을 중앙 집중식으로 제어하고 민감한 비즈니스 도구가 무단으로 발견되는 것을 방지하기 위해 권장되는 표준으로 관리 사전 인가를 식별합니다.