Sie befinden sich hier:
Zeichenbereichsanwendungseinstellungen: Zeichenbereich-SAML-Initiation
Diese Sicherheitseinstellung bestimmt, wie der Authentifizierungs-Handshake ausgelöst wird.
Steuerelementname
Verbundene Anwendungen: Zeichenbereichsanwendungseinstellungen: SAML-Initiierungsmethode – IdP initiiert | SP Initiated
Empfohlene Konfiguration
SAML-Initiierungsmethode – IdP initiiert | SP initiiert.
Steuerelementübersicht
Diese Sicherheitseinstellung bestimmt, ob der Authentifizierungs-Handshake durch die Anwendung ausgelöst wird, die eine Identitätsbehauptung vom Anbieter anfordert (SP-initiiert) oder durch den Anbieter, der eine nicht angeforderte Behauptung an die Anwendung überträgt (IdP-initiiert).
Sicherheitsrisiko, wenn nicht konfiguriert
Schwache SAML-Initiierungsmethoden, insbesondere die weit verbreitete Verwendung von IdP-initiierten Flows ohne zusätzliche Sicherungen, führen aufgrund des Fehlens eines lokal verfolgten Anforderungsstatus zu einem Risiko der nicht autorisierten Sitzungsinitiierung und einer Umgehung primärer Identitätsanforderungen.
Bedrohungsszenarien
Ein Angreifer führt einen CSRF-Angriff (Cross-Site Request Forgery) für die Anmeldung aus, indem er den Browser eines Benutzers dazu verleitet, eine gefälschte oder wiedergegebene SAML-Behauptung an den Serviceanbieter zu senden, wodurch die Zielanwendungssitzung effektiv gekapert wird.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn SP-initiierte Flows nicht priorisiert werden, kann die Anwendung nicht überprüfen, ob eine eingehende SAML-Antwort einer bestimmten eindeutigen Authentifizierungsanforderung entspricht, die sie kürzlich generiert hat, was unerwünschte Anmeldeversuche erleichtert.
Höheres Risiko, wenn
Bei Verwendung von IdP-initiierten Flows für administrative Zeichenbereichsanwendungen ist diese Methode anfällig für "Abhör"-Angriffe, bei denen eine Behauptung erfasst und an den ACS-URL gesendet werden kann, ohne dass der Benutzer direkt mit der Anwendung interagiert.
Geringes Risiko, wenn
Wenn SP-initiierte Flows erzwungen werden, da die Anwendung das eindeutige Attribut "InResponseTo" verwendet, um die SAML-Antwort kryptographisch an die ursprüngliche Anforderung zu binden und so unerwünschte Behauptungsangriffe zu nullieren.
Überlegungen zu Unternehmen und Integration
SP-Initiated ist die sichere Wahl für Deep-Links direkt in Antragsdatensätze, während IdP-Initiated nur für allgemeine Anwendungsfälle mit "App Launcher" geeignet ist, bei denen der einfache Zugriff über ein zentrales Portal das Risiko von unaufgeforderten Behauptungen überwiegt.
Empfohlene Sanierung
Wechseln Sie zu den Zeichenbereichsanwendungseinstellungen für die verbundene Anwendung und wählen Sie Serviceanbieter initiiert für interne Integrationen mit hoher Sicherung aus, um sicherzustellen, dass jede Sitzung vom Zugriffspunkt aus verfolgt wird.
Anleitung zur Sicherheitsintegritätsprüfung
Bei der Sicherheitsintegritätsprüfung wird SAML vom Serviceanbieter als dringend empfohlener Standard für sichere Zeichenbereichsintegrationen identifiziert. Gleichzeitig wird anerkannt, dass vom Identitätsanbieter initiierte Flows eine gültige sekundäre Option für den zentralisierten Portalzugriff darstellen, wenn das Risiko von Session-Hijacking durch andere Ausgleichssteuerungen gemindert wird.
