U bent hier:
Web App: SAML-beleidsversterking, enkelvoudig uitloggen, handtekeningverificatie en encryptierespons
Deze reeks beveiligingsbeleidsvormen beëindigt op SAML gebaseerde sessies globaal bij uitloggen, zodat alle inkomende authenticatieverzoeken cryptografisch worden geverifieerd op authenticiteit.
Controlenaam
Externe clientapps: Webapp (SAML-instellingen inschakelen): SAML-beleid versterken
Aanbevolen configuratie
Configureer na het inschakelen van SAML de vereiste beleidsvormen:
- Enkelvoudig uitloggen inschakelen - Selecteren
- Verzoekhandtekeningen verifiëren - Selecteren
- Verzoekhandtekeningen verifiëren - Selecteren
- SAML-respons versleutelen - Selecteren
Overzicht van besturingselementen
Deze reeks beveiligingsbeleidsvormen beëindigt op SAML gebaseerde sessies globaal bij uitloggen, dat alle inkomende authenticatieverzoeken cryptografisch worden geverifieerd op authenticiteit en dat gebruikersidentiteitsgegevens worden versleuteld tijdens transport.
Beveiligingsrisico indien niet geconfigureerd
Zonder deze beleidsvormen is een bedrijf kwetsbaar voor sessiebeëindiging waarbij een toepassing actief blijft nadat een gebruiker heeft uitgelogd, evenals SAML-definitieverpakkings- of injectieaanvallen waarbij een aanvaller identiteitsgegevens vervalst om ongeoorloofde toegang te krijgen.
Dreigingsscenario's
Een aanvaller onderschept een SAML-definitie in platte tekst met gevoelige gebruikerskenmerken of speelt een eerder vastgelegd authenticatieverzoek opnieuw af om inlogvereisten te omzeilen, omdat het systeem geen handtekeningen van verzoeken of encryptie van antwoorden afdwingt.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Het niet implementeren van deze controles leidt tot de blootstelling van persoonsgegevens (PII) tijdens de authenticatiehanddruk en maakt aanhoudende ongeoorloofde toegang tot de serviceprovider mogelijk via verlaten of gekaapte sessies.
Hoger risico wanneer
Als de serviceprovider gereguleerde gegevens verwerkt (zoals HIPAA- of PCI-conforme records) of als gebruikers de toepassing vaak openen vanuit openbare of onbeheerde netwerken waar sessie-overname vaker voorkomt.
Laag risico wanneer
Als de SAML-integratie strikt beperkt is tot een intern, geïsoleerd netwerk waar al het verkeer al is versleuteld via wederzijdse TLS en fysieke toegang tot apparaten streng wordt gecontroleerd.
Overwegingen bij bedrijf en integratie
Het inschakelen van deze voorzieningen vereist dat de serviceprovider geavanceerde SAML 2.0-mogelijkheden ondersteunt, waaronder de mogelijkheid om privésleutels op te slaan voor decryptie en de technische logica om globale uitlogsignalen te verwerken.
Aanbevolen oplossing
Ga naar de SAML 2.0-instellingen van de externe clientapp en schakel de selectievakjes in om enkelvoudig uitloggen in te schakelen, verzoekhandtekeningen te verifiëren en de SAML-respons te versleutelen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert de combinatie van handtekeningverificatie en definitie-encryptie als een verplichte standaard voor gebundelde identiteit, om de integriteit en vertrouwelijkheid van gebruikersgegevens te behouden over diverse Trust grenzen heen.
