Du är här:
Webbapp: SAML-policyförstärkning, enkel utloggning, signaturverifiering och kryptering av svar
Denna uppsättning säkerhetspolicyer avslutar SAML-baserade sessioner globalt vid utloggning, så att alla inkommande autentiseringsbegäranden kryptografiskt verifieras för autentisering.
Kontrollnamn
Externa klientappar: Webbapp (Aktivera SAML-inställningar): Förstärkning av SAML-policy
Rekommenderad konfiguration
När du har aktiverat SAML, konfigurera de policyer som behövs:
- Aktivera enkel utloggning - Välj
- Verifiera begärandesignaturer - Välj
- Verifiera begärandesignaturer - Välj
- Kryptera SAML-svar - Välj
Kontrollöversikt
Denna uppsättning säkerhetspolicyer avslutar SAML-baserade sessioner globalt vid utloggning, att alla inkommande autentiseringsbegäranden verifieras kryptografiskt för autenticitet och att användaridentitetsdata krypteras under överföring.
Säkerhetsrisk om den inte är konfigurerad
Utan dessa policyer är ett företag sårbart för sessionsavbrott där ett program fortsätter vara aktivt efter att en användare loggar ut, samt SAML-kontrollinslagning eller injektionsattacker där en attackerare förfalskar identitetsdata för att få obehörig åtkomst.
Hotscenarier
En attackerare fångar upp en SAML-kontroll i klartext som innehåller känsliga användarattribut eller spelar upp en tidigare insamlad autentiseringsbegäran för att kringgå inloggningskrav eftersom systemet inte tillämpar begärandesignaturer eller svarskryptering.
Uppskattat CVSS-betygintervall
Hög (7,0-8,9).
Att tänka på vad gäller riskpåverkan
Att inte implementera dessa kontroller leder till att personligt identifierande information (PII) exponeras under autentiseringshandskakningen och tillåter fortsatt obehörig åtkomst till tjänstleverantören genom övergivna eller kapade sessioner.
Högre risk när
Om tjänstleverantören hanterar reglerade data (som HIPAA- eller PCI-kompatibla poster) eller om användare ofta kommer åt programmet från offentliga eller ohanterade nätverk där sessionsövertagande är vanligare.
Låg risk när
Om SAML-integreringen är strikt begränsad till ett internt, isolerat nätverk där all trafik redan är krypterad via ömsesidig TLS och fysisk åtkomst till enheter är strikt kontrollerad.
Att tänka på vad gäller affärer och integration
Att aktivera dessa funktioner kräver att tjänstleverantören har stöd för avancerade SAML 2.0-funktioner, inklusive möjligheten att lagra privata nycklar för avkryptering och den tekniska logiken för att bearbeta globala utloggningssignaler.
Rekommenderad åtgärd
Gå till SAML 2.0-inställningarna för den externa klientappen och markera kryssrutorna för att slå på enkel utloggning, verifiera begärandesignaturer och kryptera SAML-svaret.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning identifierar kombinationen av signaturverifiering och kontrollkryptering som en obligatorisk standard för sammanslagen identitet, för att upprätthålla integriteten och sekretessen för användardata över olika Trust.
