Вы находитесь здесь:
Параметры приложения холста: Инициализация SAML холста
Этот параметр безопасности определяет способ запуска рукопожатия проверки подлинности.
Управление именем
Связанные приложения: Параметры приложения холста: Метод инициализации SAML - IdP Initiated | SP Initiated
Рекомендованная конфигурация
Метод инициализации SAML - IdP Initiated | SP Initiated.
Общие сведения о контроле
Этот параметр безопасности определяет, запускается ли рукопожатие проверки подлинности приложением, запрашивающим утверждение подлинности у поставщика (SP-Initiated), или поставщиком, подталкивающим нежелательное утверждение к приложению (IdP-Initiated).
Риск безопасности, если он не настроен
Слабые методы инициирования SAML, особенно широкое использование потоков, инициированных IdP, без дополнительных гарантий, приводят к риску несанкционированного инициирования сеанса и обходу основных проблем идентификации из-за отсутствия локально отслеживаемого состояния запроса.
Сценарии угроз
Злоумышленник выполняет атаку CSRF входа (подделка межсайтовых запросов), обманывая обозреватель пользователя и отправляя поддельное или воспроизведенное утверждение SAML поставщику услуг, эффективно перехватывая сеанс целевого приложения.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Отсутствие приоритета потоков, инициированных поставщиком услуг, не позволяет приложению проверить соответствие входящего ответа SAML конкретному уникальному запросу проверки подлинности, созданному недавно, что облегчает попытки входа без запроса.
Повышенный риск при
При использовании потоков, инициированных поставщиком удостоверений, для административных приложений холста, так как этот метод уязвим для атак «Перехват», когда утверждение можно собрать и отправить в URL-адрес ACS без прямого взаимодействия пользователя с приложением.
Низкий риск при
При внедрении потоков, инициированных поставщиком услуг, поскольку приложение использует уникальный атрибут "InResponseTo" для криптографического связывания ответа SAML с исходным запросом, сводя к нулю атаки нежелательных утверждений.
Рекомендации по бизнесу и интеграции
«Инициированный поставщиком услуг» - это безопасный выбор для глубокой ссылки напрямую в записи приложения, в то время как «Инициированный поставщиком удостоверений» подходит только для широких способов использования «Средства запуска приложений», когда простота доступа из центрального портала перевешивает риск нежелательных утверждений.
Рекомендованное исправление
Перейдите в параметры приложения холста для связанного приложения и выберите «Поставщик услуг, инициированный» для высоконадежных внутренних интеграций, чтобы обеспечить отслеживание каждого сеанса с точки доступа.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет инициированный поставщиком услуг SAML в качестве настоятельно рекомендуемого стандарта для безопасных интеграций холста, признавая, что инициированные поставщиком удостоверений потоки являются действительным дополнительным вариантом для централизованного доступа к порталу, когда риски перехвата сеанса уменьшаются другими компенсирующими элементами управления.
