Настройка политик OAuth: Определение профилей/наборов полномочий для доступа к приложениям внешних клиентов

Управление именем

Приложения внешних клиентов: Настройка политик OAuth: Пользователи, допущенные администратором, предварительно авторизованы для приложений внешних клиентов и задают профили/наборы полномочий для доступа к приложениям внешних клиентов

Рекомендованная конфигурация

Предварительная авторизация доступа к приложению пользователя посредством политик приложений внешних клиентов - выберите «Пользователи, допущенные администратором, предварительно авторизованы».

Настройте приложение внешнего клиента для отображения в средстве запуска приложений - выберите «Пользователи, допущенные администратором, предварительно авторизованы» и укажите авторизованные профили и наборы полномочий.

Общие сведения о контроле

Эти параметры безопасности ограничивают доступ к приложению и доступность средства запуска приложений определенным поднабором пользователей, требуя явной предварительной административной авторизации посредством назначенных профилей и наборов полномочий.

Риск безопасности, если он не настроен

Отсутствие утвержденной администратором предварительной авторизации и определенных наборов полномочий приводит к уменьшению надзора и несанкционированному определению конфиденциальных организационных инструментов, что увеличивает потенциальный радиус взрыва скомпрометированного приложения.

Сценарии угроз

Неавторизованный пользователь или скомпрометированная организация определяет и нацеливает конфиденциальный финансовый инструмент в средстве запуска приложений, который был глобально доступен, позже собирая данные, поскольку у платформы не было административных ограничений предварительного утверждения.

Примерный диапазон оценки CVSS

Высокий (7,0-8,9).

Рекомендации по влиянию риска

Отсутствие ограничений доступа к прикладным программам способствует увеличению числа неуправляемых точек доступа к данным и позволяет вредоносным субъектам выполнять внутреннюю рекогносцировку для определения экосистемы организационного программного обеспечения на предмет потенциального использования.

Повышенный риск при

Когда приложение предоставляет доступ к регламентированным данным и становится доступным всем сотрудникам, независимо от их функциональной роли или статуса проверенного требования.

Низкий риск при

Если компания применяет модель ограничительной доступности, когда инструменты предоставляются пользователям только после формальной проверки безопасности и назначения определенного набора полномочий.

Рекомендации по бизнесу и интеграции

Внедрение этих элементов управления обеспечивает доступность только проверенных приложений, хотя для управления жизненным циклом профилей и назначениями наборов полномочий для базы пользователей требуется установленный административный процесс.

Рекомендованное исправление

Перейдите в политики OAuth для приложения внешнего клиента, выберите «Пользователи, допущенные администратором, предварительно авторизованы», а потом явно добавьте авторизованные профили и наборы полномочий к политике.

Руководство по проверке состояния безопасности

Обзор состояния безопасности определяет предварительную авторизацию администратора в качестве настоятельно рекомендуемого стандарта для поддержания централизованного контроля над экосистемой приложения и предотвращения несанкционированного обнаружения конфиденциальных бизнес-инструментов.