Olet tässä:
Esitysaluesovelluksen asetukset: Esitysalueen SAML-käynnistys
Tämä suojausasetus määrittää, miten todennuksen käsipano käynnistyy.
Ohjaimen nimi
Yhdistetyt sovellukset: Esitysaluesovelluksen asetukset: SAML-käynnistystapa - IdP Initiated | SP Initiated
Suositeltu kokoonpano
SAML-käynnistystapa - IdP Initiated | SP Initiated.
Ohjauksen yleiskatsaus
Tämä suojausasetus määrittää, käynnistetäänkö todennuksen kädenputous, jos sovellus pyytää henkilöllisyydenvahvistusta tarjoajalta (SP-Initiated) vai jos tarjoaja lähettää pyytämättömän vahvistuksen sovellukseen (IdP-Initiated).
Tietoturvariski, jos ei määritetty
Heikot SAML-käynnistämistavat, erityisesti henkilöllisyydentarjoajan käynnistämien kulkujen laaja käyttö ilman lisäsuojauksia, aiheuttavat valtuuttamattoman istunnon käynnistymisen ja ensisijaisten identiteettihaasteiden ohittamisen, koska paikallisesti seurattava pyyntötila ei ole käytettävissä.
Uhkien skenaariot
Hyökkääjä suorittaa sisäänkirjautumispyyntöjen CSRF-hyökkäyksen (Cross-Site Request Falgery) piilottamalla käyttäjän selaimen lähettämään väärennetyn tai toistetun SAML-vahvistuksen palveluntarjoajalle, mikä kaappaa tehokkaasti kohdesovelluksen istunnon.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Jos palveluntarjoajan käynnistämien kulkujen priorisointi epäonnistuu, sovellus ei voi vahvistaa, että saapuva SAML-vastaus vastaa tiettyä, yksilöllistä todennuspyyntöä, jonka se on luonut äskettäin, mikä helpottaa pyytämättömiä sisäänkirjautumisyrityksiä.
Korkeampi riski, kun
Kun käytät henkilöllisyydentarjoajan käynnistämää kulkua hallittaville esitysaluesovelluksille, koska tämä menetelmä on haavoittuvainen ”hälytys”-hyökkäyksille, joissa vahvistus voidaan siepata ja lähettää ACS URL -osoitteeseen ilman, että käyttäjä vuorovaikuttaa suoraan sovelluksen kanssa.
Matalan riskin milloin
Kun palveluntarjoajan käynnistämät kulut otetaan käyttöön, sovellus käyttää yksilöllistä "InResponseTo"-attribuuttia sitoakseen SAML-vastauksen salaustiedostolla alkuperäiseen pyyntöön, mikä mitätöi pyytämättömät vahvistushyökkäykset.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
SP-Initiated on turvallinen valinta syvälinkittämiseen suoraan sovellustietueisiin, kun taas IdP-Initiated soveltuu vain laajalle sovelluskäynnistimen käyttötapaukselle, jossa keskitetty portaalin helppokäyttöisyys on suurempi kuin pyytämättömien vahvistusten riski.
Suositeltu korjaus
Avaa yhdistetyn sovelluksen esitysaluesovelluksen asetukset ja valitse Palveluntarjoaja käynnistetty korkean vahvistuksen sisäisille integraatioille varmistaaksesi, että kaikkia istuntoja seurataan käyttöpisteestä.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus tunnistaa palveluntarjoajan käynnistämän SAML:n vahvasti suositeltavaksi standardiksi suojatuille esitysalueiden integraatioille, mutta tunnustaa, että henkilöllisyydentarjoajan käynnistämät kulut ovat kelvollinen toissijainen vaihtoehto keskitetylle portaalikäyttöön, kun istunnon kaappauksen riskit lievennetään muiden korvaavien asetusten avulla.
