Olet tässä:
Web-sovellus: SAML-käytännön vahvistus, kertakirjautuminen, allekirjoitusten vahvistus ja salausvastauksen salaaminen
Tämä suojauskäytäntöjen joukko lopettaa SAML-pohjaiset istunnot globaalisti uloskirjautumisen yhteydessä, jolloin kaikki saapuvat todennuspyynnöt todennetaan salaustietojen perusteella.
Ohjaimen nimi
Ulkoiset asiakassovellukset: Web-sovellus (SAML-asetusten ottaminen käyttöön): SAML-käytännön vahvistaminen
Suositeltu kokoonpano
Kun olet ottanut SAML:n käyttöön, määritä pakolliset käytännöt:
- Ota kertauloskirjautuminen käyttöön - Valitse
- Vahvista pyyntöjen allekirjoitukset - Valitse
- Vahvista pyyntöjen allekirjoitukset - Valitse
- Salaa SAML-vastaus - Valitse
Ohjauksen yleiskatsaus
Tämä suojauskäytäntöjen joukko lopettaa SAML-pohjaiset istunnot globaalisti uloskirjautumisen yhteydessä, että kaikki saapuvat todennuspyynnöt vahvistetaan kryptografisesti todennuksen todentamiseksi ja että käyttäjän henkilöllisyystiedot salataan siirron aikana.
Tietoturvariski, jos ei määritetty
Ilman näitä käytäntöjä yhtiö on haavoittuvainen istunnon hylkäämiseen, kun sovellus pysyy aktiivisena, kun käyttäjä kirjautuu ulos, sekä SAML-vahvistuksen rivittämiseen tai injektiohyökkäyksiin, joissa hyökkääjä väärentää henkilöllisyystietoja saadakseen valtuuttamatonta käyttöoikeutta.
Uhkien skenaariot
Hyökkääjä kaappaa luottamuksellisia käyttäjäattribuutteja sisältävän plaintext-SAML-vahvistuksen tai palauttaa aiemmin kaapatun todennuspyynnön ohittaakseen sisäänkirjautumisen vaatimukset, koska järjestelmä ei noudata pyyntöjen allekirjoituksia tai vastausten salausta.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Jos näiden asetusten toteuttaminen epäonnistuu, henkilöllisyyden paljastavat tiedot (PII) paljastetaan todennuksen kädenlyönnin aikana ja se sallii palveluntarjoajan pysyvän luvattoman käytön hylättyjen tai kaapattujen istuntojen kautta.
Korkeampi riski, kun
Jos palveluntarjoaja käsittelee säänneltyjä tietoja (kuten HIPAA- tai PCI-yhteensopivia tietueita) tai jos käyttäjät käyttävät sovellusta usein julkisista tai ei-hallituista verkostoista, joissa istunnon kaappaus on yleisempi.
Matalan riskin milloin
Jos SAML-integraatio on rajoitettu vain sisäiseen, eristettyyn verkostoon, jossa kaikki liikenne on jo salattu yhteisen TLS:n kautta ja laitteiden fyysisiä käyttöoikeuksia hallitaan tarkasti.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Näiden ominaisuuksien ottaminen käyttöön vaatii, että palveluntarjoaja tukee edistyneitä SAML 2.0 -ominaisuuksia, mukaan lukien kykyä tallentaa yksityisiä avaimia salauksen purkamista varten ja teknistä logiikkaa globaalien uloskirjautumisviestien käsittelemiseksi.
Suositeltu korjaus
Avaa Ulkoisen asiakassovelluksen SAML 2.0 -asetukset ja valitse valintaruudut ottaaksesi kertakirjautumisen käyttöön, vahvistaaksesi pyyntöjen allekirjoitukset ja salataksesi SAML-vastauksen.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus tunnistaa allekirjoitusten vahvistuksen ja vahvistuksen salauksen yhdistelmän pakolliseksi standardiksi yhdistetylle identiteetille käyttäjätietojen eheyden ja luottamuksellisuuden ylläpitämiseksi eri Trust rajoissa.
