Você está aqui:
Configurações do aplicativo de tela: Controle de inicialização de SAML de tela
Essa configuração de segurança determina como o apelido de autenticação é acionado.
Nome do controle
Aplicativos conectados: Configurações do aplicativo de tela: Método de início SAML – Iniciado pelo IdP | Iniciado pelo SP
Configuração recomendada
Método de início SAML – Iniciado pelo IdP | Iniciado pelo SP.
Visão geral de controle
Essa configuração de segurança determina se o apelido de autenticação é acionado pelo aplicativo que solicita uma declaração de identidade do provedor (SP-Iniciated) ou pelo provedor que envia uma declaração não solicitada ao aplicativo (IdP-Iniciated).
Risco de segurança, se não configurado
Métodos de início de SAML fracos, especificamente o uso generalizado de fluxos iniciados por IdP sem proteções adicionais, levam a um risco de início de sessão não autorizado e um desvio de desafios de identidade primários devido à ausência de um estado de solicitação rastreado localmente.
Cenários de ameaça
Um invasor executa um ataque de CSRF de login (Falsificação de solicitação entre sites) enganando o navegador de um usuário para enviar uma declaração SAML falsa ou repetida ao provedor de serviços, sequestrando efetivamente a sessão do aplicativo de destino.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Não priorizar fluxos iniciados pelo SP impede que o aplicativo valide se uma resposta SAML recebida corresponde a uma solicitação de autenticação específica e exclusiva que ele gerou recentemente, facilitando tentativas de login não solicitado.
Risco maior quando
Ao usar fluxos iniciados por IdP para aplicativos de tela administrativos, como esse método é vulnerável a ataques de "intercepção", em que uma declaração pode ser capturada e enviada ao URL do ACS sem a interação direta do usuário com o aplicativo.
Baixo risco quando
Quando os fluxos iniciados pelo SP são impostos, o aplicativo usa um atributo exclusivo "InResponseTo" para vincular criptograficamente a resposta SAML à solicitação original, anulando ataques de declaração não solicitados.
Considerações de negócios e integração
O SP-Initiated é a opção segura para vinculação profunda diretamente em registros de solicitação, enquanto o IdP-Initiated é apropriado apenas para casos de uso amplos do "Iniciador de aplicativos", em que a facilidade de acesso de um portal central supera o risco de declarações não solicitadas.
Remediação recomendada
Acesse as Configurações do aplicativo de tela para o aplicativo conectado e selecione Provedor de serviços iniciado para integrações internas de alta garantia para garantir que cada sessão seja rastreada do ponto de acesso.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica SAML iniciado pelo provedor de serviços como o padrão altamente recomendado para integrações de tela seguras, ao mesmo tempo que reconhece que os fluxos iniciados pelo provedor de identidade são uma opção secundária válida para acesso ao portal centralizado quando os riscos de sequestro de sessão são mitigados por outros controles compensatórios.
