詳細情報:
キャンバスアプリケーション設定: キャンバス SAML 開始制御
このセキュリティ設定により、認証ハンドシェイクのトリガー方法が決まります。
コントロール名
接続アプリケーション: キャンバスアプリケーション設定: SAML 開始方法 - IdP 開始 | SP 開始
推奨設定
SAML 開始方法 - IdP 開始 | SP 開始。
制御の概要
このセキュリティ設定により、認証ハンドシェイクがプロバイダーに ID アサーションを要求するアプリケーションによってトリガーされるか (SP 開始)、プロバイダーがアプリケーションに未承諾のアサーションをプッシュすることによってトリガーされるか (IdP 開始) が決まります。
設定されていない場合のセキュリティリスク
SAML の開始方法が脆弱である (具体的には、追加の保護措置なしで IdP が開始するフローが広く使用されている) 場合、ローカルで追跡される要求状態がないため、不正なセッションの開始やプライマリ ID チャレンジのバイパスが発生するリスクがあります。
脅威のシナリオ
攻撃者は、ユーザーのブラウザーをだまして偽造または再生された SAML アサーションをサービスプロバイダーに送信し、対象アプリケーションセッションを効果的に乗っ取ることで、ログイン CSRF (クロスサイト要求フォージェリ) 攻撃を実行します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
SP が開始するフローの優先度を設定しないと、アプリケーションが受信した SAML 応答が最近生成した特定の一意の認証要求に対応しているかどうかを検証できなくなり、迷惑なログイン試行が発生しやすくなります。
より高いリスク
管理キャンバスアプリケーションで IdP 開始フローを使用する場合、この方法は、ユーザーがアプリケーションを直接操作しなくてもアサーションを取得して ACS URL に送信できる「代行受信」攻撃に対して脆弱です。
低リスク
SP が開始するフローが適用されると、アプリケーションが一意の「InResponseTo」属性を使用して SAML 応答を元の要求に暗号でバインドし、迷惑アサーション攻撃を無効にします。
ビジネスと統合に関する考慮事項
SP 起動は、アプリケーションレコードに直接ディープリンクするための安全な選択肢です。一方、IdP 起動は、中央ポータルからのアクセスのしやすさが迷惑なアサーションのリスクを上回る広範な「アプリケーションランチャー」の使用事例にのみ適しています。
推奨される修復
[接続アプリケーションのキャンバスアプリケーション設定] に移動し、[高保証内部インテグレーションのサービスプロバイダーによる開始] を選択して、すべてのセッションがアクセスポイントから追跡されるようにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review (セキュリティ状態レビュー) では、サービスプロバイダーによる SAML が安全なキャンバスインテグレーションの推奨標準であると同時に、他の補償制御によってセッションハイジャックのリスクが軽減される場合、ID プロバイダーによるフローがポータルへの集中アクセスの有効な二次オプションであることが確認されます。
