2022年7月19日,一家安全咨询公司发布了一篇博文,声称与Okta服务的特定功能的安全性有关。该安全咨询公司强调的关注领域并不是Okta服务的特定漏洞。请参考Okta博客对安全报告的回应以了解更多细节。Okta产品部门Auth0的产品和安全团队进行了彻底的审查,确定参考报告中的风险并不适用于Auth0产品。
要在Auth0中使用SCIM,我们的客户应该联系专业服务,以安全地配置和部署这里提到的定制SCIM解决方案。
此外,Auth0在所有Auth0控制的数据传输通道中执行HTTPS。
如果你是Auth0的客户,应该怎么做?
在这一点上,Auth0客户不需要任何行动。我们建议以下最佳实践建议,你应该根据你的具体配置来考虑这些建议:
- 始终使用HTTPS以确保数据的安全传输。
- 为所有用户账户启用MFA。MFA应该对所有拥有特权租户访问权的仪表板用户强制执行。Auth0鼓励所有用户,不仅仅是管理员,在他们的账户上要求MFA。
- 利用Auth0的仪表盘角色访问控制,为仪表盘用户提供更精细的访问控制。
- 对仪表盘的角色分配进行定期访问审查,并确保访问仅限于授权人员。
- 监测并定期审查租户日志中记录的仪表盘用户执行的操作。
