Vous êtes ici :
Paramètres de l'application de zone de dessin : Initiation SAML de zone de dessin
Ce paramètre de sécurité détermine comment la poignée de main d'authentification est déclenchée.
Nom du contrôle
Applications connectées : Paramètres de l'application de zone de dessin : Méthode d'initiation SAML - IdP initié | SP Initiated
Configuration recommandée
Méthode d'initiation SAML - IdP initié | SP initié.
Vue d'ensemble du contrôle
Ce paramètre de sécurité détermine si la poignée de main d'authentification est déclenchée par l'application qui demande une assertion d'identité au fournisseur (initiée par SP) ou par le fournisseur qui envoie automatiquement une assertion non sollicitée à l'application (initiée par IdP).
Risque de sécurité s'il n'est pas configuré
La faiblesse des méthodes d'initiation SAML, en particulier l'utilisation généralisée de flux initiés par IdP sans protection supplémentaire, entraîne un risque d'initiation de session non autorisée et un contournement des principaux défis d'identité en raison de l'absence d'état de requête suivi localement.
Scénarios de menace
Un assaillant effectue une attaque CSRF (Cross-Site Request Forgery) de connexion en incitant le navigateur d'un utilisateur à soumettre une assertion SAML falsifiée ou rejouée au fournisseur de services, piratant ainsi la session de l'application cible.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le fait de ne pas prioriser les flux initiés par SP empêche l'application de valider qu'une réponse SAML entrante correspond à une requête d'authentification unique spécifique qu'elle a récemment générée, ce qui facilite les tentatives de connexion non sollicitées.
Risque plus élevé quand
Lors de l'utilisation de flux initiés par IdP pour des applications de zone de dessin administratives, car cette méthode est vulnérable aux attaques « Interception » dans lesquelles une assertion peut être capturée et soumise à l'URL ACS sans l'interaction directe de l'utilisateur avec l'application.
Risque faible quand
Lorsque les flux initiés par SP sont automatiquement appliqués, car l'application utilise un attribut unique « InResponseTo » pour lier cryptographiquement la réponse SAML à la requête d'origine, annulant ainsi les attaques d'assertion non sollicitées.
Considérations relatives à l'entreprise et à l'intégration
SP-Initiated est le choix sécurisé pour la liaison profonde directement dans les enregistrements de demande, alors que IdP-Initiated est approprié uniquement pour les cas d'utilisation « Lanceur d'application » larges où la facilité d'accès à partir d'un portail central l'emporte sur le risque d'assertions non sollicitées.
Remédiation recommandée
Accédez aux Paramètres de l'application de zone de dessin pour l'application connectée, puis sélectionnez Fournisseur de services initié pour les intégrations internes à assurance élevée afin de vous assurer que chaque session est suivie depuis le point d'accès.
Guide d'examen sanitaire de sécurité
Security Health Review identifie SAML initié par le fournisseur de services comme la norme fortement recommandée pour les intégrations sécurisées de zone de dessin, tout en reconnaissant que les flux initiés par le fournisseur d’identité sont une option secondaire valide pour l’accès centralisé au portail lorsque les risques de piratage de session sont atténués par d’autres contrôles compensatoires.
