U bent hier:
Doekappinstellingen: Canvas SAML-initiatie
Deze beveiligingsinstelling bepaalt hoe de authenticatiehanddruk wordt geactiveerd.
Controlenaam
Verbonden apps: Doekappinstellingen: SAML-initiatiemethode - IdP geïnitieerd | SP geïnitieerd
Aanbevolen configuratie
SAML-initiatiemethode - IdP geïnitieerd | SP geïnitieerd.
Overzicht van besturingselementen
Deze beveiligingsinstelling bepaalt of de authenticatiehanddruk wordt geactiveerd door de toepassing die een identiteitsdefinitie aanvraagt bij de provider (SP-geïnitieerd) of door de provider die een ongevraagde definitie naar de toepassing pusht (IdP-geïnitieerd).
Beveiligingsrisico indien niet geconfigureerd
Zwakke SAML-initiatiemethoden, met name het wijdverbreide gebruik van door IdP geïnitieerde stromen zonder aanvullende beveiliging, leiden tot het risico van het ongeautoriseerde initiëren van sessies en het omzeilen van primaire identiteitsproblemen vanwege het ontbreken van een lokaal bijgehouden verzoekstatus.
Dreigingsscenario's
Een aanvaller voert een CSRF-aanval (Cross-Site Request Forgery) uit door de browser van een gebruiker ertoe te verleiden een vervalste of opnieuw afgespeelde SAML-definitie in te dienen bij de serviceprovider, waardoor de doeltoepassingssessie feitelijk wordt gekaapt.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als u geen prioriteit geeft aan door de SP geïnitieerde stromen, kan de toepassing niet valideren dat een inkomende SAML-respons overeenkomt met een specifiek, uniek authenticatieverzoek dat onlangs is gegenereerd, waardoor ongevraagde inlogpogingen worden vergemakkelijkt.
Hoger risico wanneer
Bij gebruik van door IdP geïnitieerde stromen voor beheer-Doek-apps, aangezien deze methode kwetsbaar is voor "Interceptie"-aanvallen waarbij een definitie kan worden vastgelegd en ingediend bij de URL van ACS zonder de directe interactie van de gebruiker met de app.
Laag risico wanneer
Wanneer door de SP geïnitieerde stromen worden afgedwongen, aangezien de toepassing een uniek kenmerk "InResponseTo" gebruikt om de SAML-respons cryptografisch te binden aan het oorspronkelijke verzoek, waardoor ongewenste assertion-aanvallen worden tenietgedaan.
Overwegingen bij bedrijf en integratie
SP-Initiated is de veilige keuze voor deep-linking rechtstreeks naar toepassingsrecords, terwijl IdP-Initiated alleen geschikt is voor brede "Appstarter"-gebruikscases waar gemakkelijke toegang vanuit een centrale portal opweegt tegen het risico van ongevraagde definities.
Aanbevolen oplossing
Ga naar de Canvas-app-instellingen voor de verbonden app en selecteer Serviceprovider geïnitieerd voor interne integraties met grote zekerheid om ervoor te zorgen dat elke sessie wordt bijgehouden vanaf het toegangspunt.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert door de serviceprovider geïnitieerde SAML als de sterk aanbevolen standaard voor veilige Canvas-integraties, waarbij wordt erkend dat door de identiteitsleverancier geïnitieerde stromen een geldige secundaire optie zijn voor gecentraliseerde portaltoegang wanneer sessie-overnamerisico's worden beperkt door andere compenserende controles.
