Azure active directory 对于AAD注册的应用程序,有什么可以防止恶意内幕人士添加机密并利用它们?重定向URL?
我的组织正在研究Azure Active Directory(AAD)中已注册应用程序的安全性,并担心个人是否有能力为使用“应用程序权限”模型的应用程序添加客户端机密和证书。我正在努力缩小组织内个人的角色范围以限制这一点,但这项调查提出了一个问题:如果恶意内幕人士可以向该应用程序添加客户机密,他或她会做什么 我已经浏览了,这是非常好的,但是我想澄清一下,还可以做些什么来防止内部人员获得此应用程序允许的权限 如果组织保留对所有已注册URL的控制权(例如,指未注册的URL),重定向URL本身是否可以防止这种情况?根据第3步下的帖子,我假设答案是肯定的,但我想确定这是真的Azure active directory 对于AAD注册的应用程序,有什么可以防止恶意内幕人士添加机密并利用它们?重定向URL?,azure-active-directory,Azure Active Directory,我的组织正在研究Azure Active Directory(AAD)中已注册应用程序的安全性,并担心个人是否有能力为使用“应用程序权限”模型的应用程序添加客户端机密和证书。我正在努力缩小组织内个人的角色范围以限制这一点,但这项调查提出了一个问题:如果恶意内幕人士可以向该应用程序添加客户机密,他或她会做什么 我已经浏览了,这是非常好的,但是我想澄清一下,还可以做些什么来防止内部人员获得此应用程序允许的权限 如果组织保留对所有已注册URL的控制权(例如,指未注册的URL),重定向URL本身是否可以
如果重定向URL不受组织的保护/拥有,可能添加客户端机密的恶意内部人员可能会利用应用程序授予的权限进行攻击,这在技术上是否正确?如果您能够将客户端机密添加到已被授予某个应用程序权限的应用程序中,然后,该用户可以使用新密码获取令牌,并作为应用程序访问这些资源 重定向URL不与应用程序权限一起使用,仅与委派的权限一起使用。 这是因为在获取具有应用权限的令牌时使用的客户端凭据授予流中没有重定向。 这只是一个HTTP请求 因此,您的假设是正确的,即能够向已经拥有权限的应用程序添加新的机密可能是一个安全问题。 虽然有审计日志,但我相信添加机密/证书会被记录下来