Web 應用程式:增強 SAML 原則、單一登出、簽章驗證和加密回應

控制名稱

外部用戶端應用程式:Web 應用程式 (啟用 SAML 設定):增強 SAML 原則

建議組態

啟用 SAML 後,請設定必要原則:

• 啟用單一登出 - 選取
• 確認要求簽章 - 選取
• 確認要求簽章 - 選取
• 加密 SAML 回應 - 選取

控制概觀

此一套安全性原則會在登出時全域終止以 SAML 為基礎的工作階段、所有傳入驗證要求皆經過密碼驗證,並在傳輸期間加密使用者身分資料。

未設定安全性風險

若沒有這些原則,則公司容易受到在使用者登出後應用程式保持啟用時的工作階段捨棄,以及攻擊者偽造身分資料以取得未經授權存取權的 SAML 判斷包裝或插入式攻擊。

威脅情況

攻擊者會攔截純文字 SAML 判斷式,其中包含敏感的使用者屬性,或重新執行先前捕獲的驗證要求以略過登入需求,因為系統不會強制執行要求簽章或回應加密。

估計 CVSS 分數範圍

高 (7.0–8.9)。

風險影響考量事項

無法實作這些控制,會在驗證手動期間顯示個人可識別資訊 (PII),並允許透過捨棄或劫持的工作階段持續未經授權存取服務提供者。

風險愈高時機

如果服務提供者處理受監管的資料 (例如 HIPAA 或 PCI 相容記錄),或如果使用者經常從公用或未受管理的網路存取應用程式,則工作階段劫持較常見。

低度風險時機

如果 SAML 整合嚴格限制於內部隔離網路,其中所有流量已透過共同 TLS 加密,且裝置實體存取權受到嚴格控制。

業務與整合考量事項

啟用這些功能需要服務提供者支援進階 SAML 2.0 功能,包括儲存私人金鑰以進行解密的能力,以及處理全域登出訊號的技術邏輯。

建議的補救措施

前往外部用戶端應用程式的「SAML 2.0 設定」,然後選取核取方塊以開啟單一登出、驗證要求簽章,以及加密 SAML 回應。

安全性健康檢閱指南

Security Health Review 將簽章驗證與判斷式加密的組合識別為聯合身分的必要標準,以維護跨各種 Trust 界限的使用者資料完整性和機密性。