您在此处:
配置 OAuth 策略:指定访问外部客户端应用程序的简档/权限集
这些安全设置通过要求通过分配的简档和权限集进行明确的管理预授权来限制对特定用户子集的应用程序访问权限和应用程序启动程序的可见性。
控件名称
外部客户端应用程序:配置 OAuth 策略:管理员批准的用户被预先授权使用外部客户端应用程序,并指定简档/权限集来访问外部客户端应用程序
推荐配置
通过外部客户端应用程序策略预授权用户应用程序访问权限 - 选择管理员批准的用户已预授权。
配置要在应用程序启动程序中显示的外部客户端应用程序 - 选择管理员批准的用户已预授权,并指定授权的简档和权限集。
控制概览
这些安全设置通过要求通过分配的简档和权限集进行明确的管理预授权来限制对特定用户子集的应用程序访问权限和应用程序启动程序的可见性。
安全风险(如果未配置)
缺少管理员批准的预授权和定义的权限集会导致对敏感组织工具的监督减少和未经授权的识别,从而增加了受威胁的应用程序的潜在爆炸半径。
威胁场景
未经授权的用户或受威胁的客户会识别并锁定应用程序启动程序中全局可见的敏感金融工具,稍后会收集数据,因为平台缺乏管理性预先批准约束。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不限制应用程序访问会助长非受管数据接入点的扩散,并允许恶意行为者执行内部侦察,以规划组织软件生态系统,从而进行潜在的攻击。
高风险
当应用程序提供对受监管数据的访问权限并使整个员工可见时,无论他们的功能角色或已验证的需要了解状态如何。
低风险
如果公司强制实施限制性可见性模型,其中工具仅在正式安全审查和分配特定权限集后配置给用户。
业务和集成注意事项
实施这些控制可确保只有经过审查的应用程序才可以访问,尽管这需要既定的行政程序来管理用户群的简档和权限集分配的生命周期。
建议的补救措施
转到外部客户端应用程序的 OAuth 策略,选择管理员批准的用户已预授权,然后明确将授权的简档和权限集添加到策略中。
安全健康审查指导
安全健康审查将管理预授权确定为强烈建议的标准,以保持对应用程序生态系统的集中控制,并防止未经授权发现敏感的业务工具。
