Du er her:
Nettapp: SAML-policyforbedring, enkeltavlogging, signaturbekreftelse og kryptering av svar
Denne pakken med sikkerhetspolicyer avslutter SAML-baserte økter globalt ved avlogging, slik at alle innkommende godkjenningsforespørsler blir kryptografisk bekreftet for autentisitet.
Navn på kontroll
Eksterne klientapper: Nettapp (aktiver SAML-innstillinger): SAML-policyforbedring
Anbefalt konfigurasjon
Når du har aktivert SAML, konfigurerer du de nødvendige policyene:
- Aktiver enkeltavlogging – Velg
- Bekrefte forespørselssignaturer – Velg
- Bekrefte forespørselssignaturer – Velg
- Kryptere SAML-svar – Velg
Oversikt over kontroll
Denne pakken med sikkerhetspolicyer avslutter SAML-baserte økter globalt ved avlogging, at alle innkommende godkjenningsforespørsler kryptografisk bekreftes for autentisitet, og at brukeridentitetsdata krypteres under overføring.
Sikkerhetsrisiko hvis ikke konfigurert
Uten disse policyene er et firma sårbart for øktavbrudd der et program forblir aktivt etter at en bruker logger seg av, i tillegg til SAML-deklarasjonsbryting eller injeksjonsangrep der en angriper forfalsker identitetsdata for å få uautorisert tilgang.
Trusselscenarier
En angriper fanger opp en ren tekst SAML-deklarasjon som inneholder sensitive brukerattributter, eller sender en tidligere registrert godkjenningsforespørsel på nytt for å omgå påloggingskrav fordi systemet ikke håndhever forespørselssignaturer eller svarkryptering.
Beregnet CVSS Score-område
Høyt (7.0–8,9).
Viktige punkter om risikoinnvirkning
Mislykket implementering av disse kontrollene fører til eksponering av personlig identifiserbar informasjon (PII) under godkjenningshåndtaket og tillater vedvarende uautorisert tilgang til tjenesteleverandøren via forlatte eller kaprede økter.
Høyere risiko når
Hvis tjenesteleverandøren håndterer regulerte data (som HIPAA- eller PCI-kompatible poster), eller hvis brukere ofte får tilgang til programmet fra felles eller ikke-administrerte nettverk der øktkapring er mer utbredt.
Lav risiko når
Hvis SAML-integreringen er strengt begrenset til et internt, isolert nettverk der all trafikk allerede er kryptert via gjensidig TLS, og fysisk tilgang til enheter er strengt kontrollert.
Viktige punkter om virksomheten og integrasjonen
Aktivering av disse funksjonene krever at tjenesteleverandøren støtter avanserte SAML 2.0-funksjoner, inkludert muligheten til å lagre private nøkler for dekryptering og den tekniske logikken for å behandle globale avloggingssignaler.
Anbefalt rettelse
Gå til SAML 2.0-innstillingene i den eksterne klientappen, og merk avmerkingsboksene for å slå på enkeltavlogging, bekrefte forespørselssignaturer og kryptere SAML-svaret.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsgjennomgang identifiserer kombinasjonen av signaturbekreftelse og deklarasjonskryptering som en obligatorisk standard for forent identitet, for å opprettholde integriteten og konfidensialiteten til brukerdata på tvers av ulike Trust grenser.
