Usted está aquí:
Gestionar políticas de sesión para una aplicación conectada: Tiempo de espera de sesión
Este control define la duración máxima que una sesión de aplicación puede permanecer inactiva antes de que caduque el token de acceso y se requiera al usuario o sistema volver a autenticarse o utilizar un token de actualización.
Nombre de control
Aplicaciones conectadas: Gestionar políticas de sesión para una aplicación conectada: Tiempo de espera de sesión
Configuración recomendada
Valor de tiempo de espera: seleccione "1hora".
Descripción general de control
Este control define la duración máxima que una sesión de aplicación puede permanecer inactiva antes de que caduque el token de acceso y se requiera al usuario o sistema volver a autenticarse o utilizar un token de actualización.
Riesgo de seguridad si no está configurado
Los valores de tiempo de espera largo o indefinido dejan sesiones activas en dispositivos o servidores, aumentando significativamente la ventana de oportunidad para un usuario no autorizado de secuestrar una estación de trabajo desatendida o un dispositivo móvil comprometido.
Escenarios de amenazas
Un empleado deja su tablet en un área pública o una sesión se intercepta a través de un ataque basado en navegador, permitiendo a un adversario continuar accediendo a datos confidenciales durante horas o días porque la sesión nunca agotó el tiempo de espera.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
Los tiempos de vida excesivos de las sesiones facilitan la exposición prolongada de datos no autorizados y complican la respuesta ante incidentes, ya que un token robado sigue siendo una clave "en vivo" para el entorno durante un periodo prolongado.
Mayor riesgo cuando
"Forzar el cierre de sesión en tiempo de espera de sesión" está desactivado o cuando la aplicación se utiliza en dispositivos compartidos, públicos o no gestionados donde la seguridad física no está garantizada.
Bajo riesgo cuando
La aplicación está acoplada con requisitos de MFA de alta seguridad y políticas de inicio de sesión restringidas por IP que evitan que una sesión secuestrada se traslade a una red diferente.
Consideraciones de negocio e integración
Establecer un tiempo de espera de 1 hora puede afectar a la experiencia del usuario al provocar interrupciones de sesión más frecuentes, lo que requiere que los desarrolladores se aseguren de que la aplicación puede gestionar actualizaciones de tokens en segundo plano sin afectar al usuario.
Remediación recomendada
Vaya a Políticas de OAuth de la aplicación conectada, localice el menú desplegable Valor de tiempo de espera y seleccione "1 hora" para aplicar una terminación de sesión más estricta.
Directrices de revisión del estado de seguridad
Security Health Review identifica un tiempo de espera de sesión de 1 hora como la línea base para "Persistencia de privilegios mínimos", de modo que el acceso se revalida con frecuencia para mantener una postura de alta seguridad.
