Usted estĆ” aquĆ:
ConfiguraciĆ³n de aplicaciĆ³n de lienzo: Inicio de SAML de lienzo
Esta configuraciĆ³n de seguridad determina cĆ³mo se desencadena el protocolo de autenticaciĆ³n.
Nombre de control
Aplicaciones conectadas: ConfiguraciĆ³n de aplicaciĆ³n de lienzo: MĆ©todo de inicio de SAML: IdP iniciado | SP iniciado
ConfiguraciĆ³n recomendada
MĆ©todo de inicio de SAML: IdP iniciado | SP iniciado.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad determina si el protocolo de enlace de autenticaciĆ³n se desencadena por la aplicaciĆ³n que solicita una afirmaciĆ³n de identidad al proveedor (iniciado por SP) o por el proveedor que envĆa una afirmaciĆ³n no solicitada a la aplicaciĆ³n (iniciado por IdP).
Riesgo de seguridad si no estĆ” configurado
Los mĆ©todos de inicio de SAML dĆ©biles, especĆficamente el uso generalizado de flujos iniciados por IdP sin salvaguardas adicionales, conllevan un riesgo de inicio de sesiĆ³n no autorizado y una omisiĆ³n de retos de identidad principales debido a la falta de un estado de solicitud con seguimiento local.
Escenarios de amenazas
Un atacante realiza un ataque CSRF de inicio de sesiĆ³n (falsificaciĆ³n de solicitud de sitio cruzado) engaƱando al navegador de un usuario para que envĆe una afirmaciĆ³n SAML falsificada o reproducida al proveedor de servicio, secuestrando de forma efectiva la sesiĆ³n de aplicaciĆ³n de destino.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El fallo en la prioridad de flujos iniciados por SP evita que la aplicaciĆ³n valide que una respuesta SAML entrante corresponde a una solicitud de autenticaciĆ³n especĆfica y exclusiva que generĆ³ recientemente, facilitando los intentos de inicio de sesiĆ³n no solicitados.
Mayor riesgo cuando
Al utilizar flujos iniciados por IdP para aplicaciones de lienzo administrativas, ya que este mĆ©todo es vulnerable a ataques de "IntercepciĆ³n" donde se puede capturar una afirmaciĆ³n y enviarla a la URL de ACS sin la interacciĆ³n directa del usuario con la aplicaciĆ³n.
Bajo riesgo cuando
Cuando se aplican flujos iniciados por SP, ya que la aplicaciĆ³n utiliza un atributo exclusivo "InResponseTo" para vincular criptogrĆ”ficamente la respuesta SAML a la solicitud original, anulando ataques de afirmaciĆ³n no solicitados.
Consideraciones de negocio e integraciĆ³n
SP-Initiated es la opciĆ³n segura para la vinculaciĆ³n profunda directamente en registros de aplicaciĆ³n, mientras que IdP-Initiated solo es apropiado para casos de uso amplios de "Iniciador de aplicaciĆ³n" donde la facilidad de acceso desde un portal central supera el riesgo de afirmaciones no solicitadas.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de aplicaciĆ³n de lienzo para la aplicaciĆ³n conectada y seleccione Proveedor de servicio iniciado para integraciones internas de alta seguridad para garantizar que se realiza un seguimiento de cada sesiĆ³n desde el punto de acceso.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica SAML iniciado por proveedor de servicio como el estĆ”ndar recomendado encarecidamente para integraciones de lienzo seguras, reconociendo al mismo tiempo que los flujos iniciados por proveedor de identidad son una opciĆ³n secundaria vĆ”lida para el acceso al portal centralizado cuando los riesgos de secuestro de sesiones se mitigan por otros controles de compensaciĆ³n.
