Ti trovi qui:
Impostazioni app area di disegno: Inizio SAML area di disegno
Questa impostazione di sicurezza determina come viene attivata la stretta di mano di autenticazione.
Nome controllo
Applicazioni connesse: Impostazioni app area di disegno: Metodo di avvio SAML - IdP avviato | SP avviato
Configurazione consigliata
Metodo di avvio SAML - IdP avviato | SP avviato.
Panoramica sul controllo
Questa impostazione di protezione determina se la stretta di mano di autenticazione viene attivata dall'applicazione che richiede un'asserzione di identità al provider (avviata dal provider di servizi) o dal provider che invia un'asserzione non richiesta all'applicazione (avviata dal provider di servizi).
Rischio per la sicurezza se non configurato
I metodi di avvio SAML deboli, in particolare l'uso diffuso di flussi avviati da IdP senza protezioni aggiuntive, comportano il rischio di avvio di sessioni non autorizzate e di ignorare le sfide dell'identità principale a causa della mancanza di uno stato richiesta tracciato localmente.
Scenari di minaccia
Un aggressore esegue un attacco CSRF (Cross-Site Request Forgery) di accesso ingannando il browser di un utente per inviare un'asserzione SAML contraffatta o riprodotta al fornitore di servizi, eseguendo di fatto l'hijack della sessione dell'applicazione di destinazione.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata assegnazione della priorità ai flussi avviati dal fornitore di servizi impedisce all'applicazione di verificare che una risposta SAML in entrata corrisponda a una richiesta di autenticazione univoca specifica generata di recente, facilitando i tentativi di accesso non richiesti.
Rischio maggiore quando
Quando si utilizzano i flussi avviati da IdP per le app area di disegno amministrative, poiché questo metodo è vulnerabile agli attacchi di "Intercettazione" in cui un'asserzione può essere acquisita e inviata all'URL ACS senza l'interazione diretta dell'utente con l'app.
Basso rischio quando
Quando vengono imposti i flussi avviati da SP, poiché l'applicazione utilizza un attributo "InResponseTo" univoco per collegare crittograficamente la risposta SAML alla richiesta originale, annullando gli attacchi di asserzioni non richieste.
Considerazioni su Business e integrazione
SP-Initiated è la scelta sicura per il deep-linking direttamente nei record delle applicazioni, mentre IdP-Initiated è adatto solo per i casi d'uso generici "Programma di avvio app" in cui la facilità di accesso da un portale centrale supera il rischio di asserzioni indesiderate.
Rimedio consigliato
Accedere a Impostazioni app area di disegno per l'applicazione connessa e selezionare Fornitore di servizi avviato per le integrazioni interne High Assurance per assicurarsi che ogni sessione venga tracciata dal punto di accesso.
Guida all'esame dello stato della sicurezza
Security Health Review identifica SAML avviato dal fornitore di servizi come lo standard fortemente consigliato per le integrazioni protette nell'area di disegno, pur riconoscendo che i flussi avviati dal provider di identità sono una valida opzione secondaria per l'accesso centralizzato al portale quando i rischi di hijack della sessione vengono mitigati da altri controlli compensativi.
