Usted estĆ” aquĆ:
ConfiguraciĆ³n de aplicaciĆ³n de lienzo: Inicio de SAML de lienzo
Esta configuraciĆ³n de seguridad determina cĆ³mo se desencadena el apretĆ³n de manos de autenticaciĆ³n.
Nombre de control
Aplicaciones conectadas: ConfiguraciĆ³n de aplicaciĆ³n de lienzo: MĆ©todo de inicio de SAML - IdP iniciado | SP iniciado
ConfiguraciĆ³n recomendada
MĆ©todo de inicio de SAML - IdP iniciado | SP iniciado.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad determina si el apretĆ³n de manos de autenticaciĆ³n se desencadena por la aplicaciĆ³n que solicita una afirmaciĆ³n de identidad al proveedor (iniciado por el proveedor) o por el proveedor que envĆa una afirmaciĆ³n no solicitada a la aplicaciĆ³n (iniciado por el IdP).
Riesgo de seguridad si no estĆ” configurado
Los mĆ©todos de inicio de SAML deficientes, especĆficamente el uso generalizado de flujos iniciados por IdP sin protecciones adicionales, conducen a un riesgo de inicio de sesiĆ³n no autorizado y una omisiĆ³n de retos de identidad principales debido a la falta de un estado de solicitud con seguimiento local.
Escenarios de amenazas
Un atacante realiza un ataque CSRF (falsificaciĆ³n de solicitud de sitio cruzado) de inicio de sesiĆ³n engaƱando al navegador de un usuario para que envĆe una afirmaciĆ³n SAML falsificada o reproducida al proveedor de servicio, secuestrando de forma efectiva la sesiĆ³n de aplicaciĆ³n de destino.
Intervalo de puntuaciĆ³n de CVSS estimado
Alto (7,0ā8,9).
Consideraciones sobre el impacto del riesgo
El hecho de no dar prioridad a los flujos iniciados por SP evita que la aplicaciĆ³n valide que una respuesta SAML entrante corresponde a una solicitud de autenticaciĆ³n especĆfica y exclusiva que generĆ³ recientemente, facilitando los intentos de inicio de sesiĆ³n no solicitados.
Riesgo mƔs alto cuando
Cuando utilice flujos iniciados por IdP para aplicaciones de lienzo administrativas, ya que este mĆ©todo es vulnerable a ataques de "IntercepciĆ³n" donde se puede capturar una afirmaciĆ³n y enviarla a la URL de ACS sin la interacciĆ³n directa del usuario con la aplicaciĆ³n.
Bajo riesgo cuando
Cuando se aplican flujos iniciados por SP, como la aplicaciĆ³n utiliza un atributo exclusivo "InResponseTo" para vincular criptogrĆ”ficamente la respuesta SAML a la solicitud original, anulando ataques de afirmaciĆ³n no solicitados.
Consideraciones comerciales y de integraciĆ³n
SP-Initiated es la opciĆ³n segura para la vinculaciĆ³n profunda directamente en registros de aplicaciĆ³n, mientras que IdP-Initiated solo es apropiado para casos de uso amplios de "Iniciador de aplicaciĆ³n" donde la facilidad de acceso desde un portal central supera el riesgo de afirmaciones no solicitadas.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de aplicaciĆ³n de lienzo para la aplicaciĆ³n conectada y seleccione Proveedor de servicio iniciado para integraciones internas de alta seguridad para garantizar que se realiza un seguimiento de cada sesiĆ³n desde el punto de acceso.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica SAML iniciado por proveedor de servicio como el estĆ”ndar altamente recomendado para integraciones de lienzo seguras, al tiempo que reconoce que los flujos iniciados por proveedor de identidad son una opciĆ³n secundaria vĆ”lida para el acceso al portal centralizado cuando los riesgos de secuestro de sesiones se mitigan por otros controles de compensaciĆ³n.
