您位於此處:
畫布應用程式設定:畫布 SAML 起始控制
此安全性設定決定驗證觸發的方式。
控制名稱
連線的應用程式:畫布應用程式設定:SAML 起始方法 - IdP 起始 | SP 起始
建議組態
SAML 起始方法 - IdP 起始 | SP 起始。
控制概觀
此安全性設定可決定驗證手勢是由要求提供者身分判斷式的應用程式 (SP-Initiated) 觸發,還是由提供者將未經要求的判斷式推送至應用程式 (IdP-Initiated) 觸發。
未設定安全性風險
較弱的 SAML 初始化方法,尤其是廣泛使用 IdP 初始化流程而無需額外的保護措施,會導致未經授權的工作階段初始化風險,並因缺少本機追蹤要求狀態而略過主要身分問題。
威脅情況
攻擊者會透過欺騙使用者的瀏覽器,將虛假或重新執行的 SAML 判斷式提交給服務提供者,以執行登入 CSRF (跨網站要求偽造) 攻擊,有效劫持目標應用程式工作階段。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法排定 SP 初始流程的優先順序,讓應用程式無法驗證傳入的 SAML 回應是否與最近產生的特定唯一驗證要求對應,進而促進未經要求的登入嘗試。
風險愈高時機
當針對管理畫布應用程式使用 IdP 初始流程時,因為此方法容易受到「攔截」攻擊,其中判斷式可在沒有使用者與應用程式直接互動的情況下,被取用並提交至 ACS URL。
低度風險時機
強制執行 SP 初始流程時,應用程式會使用唯一的「InResponseTo」屬性將 SAML 回應加密將其繫結至原始要求,以取消未經要求的判斷式攻擊。
業務與整合考量事項
「SP 初始化」是直接深入連結至應用程式記錄的安全選擇,而「IdP 初始化」僅適用於廣泛的「App Launcher」使用個案,其中從中央入口網頁的輕鬆存取權高於未經要求的判斷式的風險。
建議的補救措施
前往連線的應用程式的畫布應用程式設定,並選取「由服務提供者起始」以進行高度保證內部整合,以確保從存取點追蹤每個工作階段。
安全性健康檢閱指南
Security Health Review 將服務提供者起始的 SAML 識別為安全畫布整合的強烈建議標準,同時確認身分提供者起始的流程是當其他補償控制措施降低工作階段劫持風險時,集中化入口網頁存取權的有效次要選項。
