Du er her:
Innstillinger for lerretsappen: SAML-initieringskontroll på lerret
Denne sikkerhetsinnstillingen bestemmer hvordan godkjenningshåndtaket utløses.
Navn på kontroll
Tilkoblede apper: Innstillinger for lerretsappen: SAML-initieringsmetode - IdP initiert | SP initiert
Anbefalt konfigurasjon
SAML-initieringsmetode - IdP initiert | SP initiert.
Oversikt over kontroll
Denne sikkerhetsinnstillingen bestemmer om godkjenningshåndtaket utløses av programmet som ber om en identitetsdeklarasjon fra leverandøren (SP-Initiated) eller av leverandøren som overfører en uoppfordret deklarasjon til programmet (IdP-Initiated).
Sikkerhetsrisiko hvis ikke konfigurert
Svake SAML-initieringsmetoder, spesielt den omfattende bruken av identitetsleverandørinitierte flyter uten ekstra sikkerhetstiltak, fører til en risiko for uautorisert øktinitiering og omgåelse av primære identitetsproblemer på grunn av mangel på en lokalt sporet forespørselsstatus.
Trusselscenarier
En angriper utfører et CSRF-angrep (Cross-Site Request Forgery) ved å lure en brukers nettleser til å sende en forfalsket eller gjengitt SAML-deklarasjon til tjenesteleverandøren, som effektivt kaprer målprogramøkten.
Beregnet CVSS Score-område
Høyt (7.0–8,9).
Viktige punkter om risikoinnvirkning
Mislykket prioritering av tjenesteleverandørinitierte flyter hindrer programmet i å validere om et innkommende SAML-svar svarer til en spesifikk, unik godkjenningsforespørsel den nylig genererte, noe som letter uoppfordrede påloggingsforsøk.
Høyere risiko når
Når du bruker identitetsleverandørinitierte flyter for administrative lerretsapper, fordi denne metoden er sårbar for oppfangingsangrep der en deklarasjon kan fanges opp og sendes til ACS-URL-adressen uten brukerens direkte interaksjon med appen.
Lav risiko når
Når tjenesteleverandørinitierte flyter håndheves, fordi programmet bruker et unikt InResponseTo-attributt til kryptografisk å binde SAML-svaret til den opprinnelige forespørselen, noe som gjør uoppfordrede deklarasjonsangrep ugyldige.
Viktige punkter om virksomheten og integrasjonen
SP-Initiated er det sikre valget for dype lenker direkte til programposter, mens IdP-Initiated bare er egnet for brede "Appstarter"-brukstilfeller der enkel tilgang fra en sentral portal oppveier risikoen for uoppfordrede deklarasjoner.
Anbefalt rettelse
Gå til innstillingene for lerretsappen for den tilkoblede appen, og velg Tjenesteleverandør startet for interne integrasjoner med høy sikkerhet for å sikre at hver økt spores fra tilgangspunktet.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsgjennomgang identifiserer tjenesteleverandørinitiert SAML som den sterkt anbefalte standarden for sikre lerretsintegrasjoner, samtidig som den anerkjenner at identitetsleverandørinitierte flyter er et gyldig sekundært alternativ for sentralisert portaltilgang når øktkapringsrisiko reduseres av andre kompenserende kontroller.
