Sie befinden sich hier:
Webanwendungseinstellungen: Konfigurieren der erforderlichen Richtliniensteuerung nach dem Aktivieren von SAML
Diese Sicherheitseinstellung definiert die erforderlichen kryptografischen Signieralgorithmen, Behauptungsvalidierungsregeln und Serviceanbieter-Endpunkte, um den Austausch der Markup-Sprache für die Sicherheitsbehauptung zwischen dem Identitätsanbieter und der Webanwendung zu schützen.
Steuerelementname
Verbundene Anwendungen: Webanwendungseinstellungen: Konfigurieren Sie nach dem Aktivieren von SAML die erforderlichen Richtlinien.
Empfohlene Konfiguration
Konfigurieren Sie nach dem Aktivieren von SAML die erforderlichen Richtlinien.
Steuerelementübersicht
Diese Sicherheitseinstellung definiert die erforderlichen kryptografischen Signieralgorithmen, Behauptungsvalidierungsregeln und Serviceanbieter-Endpunkte, um den Austausch der Markup-Sprache für die Sicherheitsbehauptung zwischen dem Identitätsanbieter und der Webanwendung zu schützen.
Sicherheitsrisiko, wenn nicht konfiguriert
Eine schwache SAML-Richtlinienkonfiguration für Webanwendungen führt zu einem Risiko des Identitäts-Spoofings durch Behauptungsinjektion und XML-basierte Angriffe, die Standardauthentifizierungsprotokolle umgehen.
Bedrohungsszenarien
Ein Angreifer fängt eine unverschlüsselte Behauptung ab und führt einen XML-Signaturumbruchsangriff aus oder injiziert einen gefälschten Identitätsanspruch, um nicht autorisierten Zugriff auf eine Benutzersitzung mit hohem Recht zu erhalten.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn strenge SAML-Richtlinien nicht erzwungen werden, werden die Übernahme von Verwaltungsaccounts und persistentes Session-Hijacking erleichtert, was potenziell die Integrität aller Verbunddaten im verbundenen Ökosystem gefährdet.
Höheres Risiko, wenn
Wenn das Unternehmen veraltete SHA-1-Hashing-Algorithmen verwendet oder die Verschlüsselung der gesamten SAML-Behauptung während der Übertragung nicht vorschreibt.
Geringes Risiko, wenn
Wenn das Unternehmen SHA-256 für alle digitalen Signaturen erzwingt und für jede Authentifizierungsanforderung eine eindeutige, kurzlebige Nonce verwendet, um Wiederholungsangriffe zu verhindern.
Überlegungen zu Unternehmen und Integration
Durch die Implementierung gehärteter SAML-Richtlinien wird ein nahtloses Single Sign-On für die Belegschaft gewährleistet, während der Serviceanbieter erweiterte kryptografische Standards und eine spezifische Attributzuordnung unterstützen muss.
Empfohlene Sanierung
Wechseln Sie zu den Webanwendungseinstellungen für die verbundene Anwendung, aktivieren Sie SAML und konfigurieren Sie die Einheiten-ID, den ACS-URL und den Betrefftyp, während Sie das erforderliche Sicherheitszertifikat hochladen.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Verwendung zuverlässiger SAML-Behauptungsrichtlinien als dringend empfohlenen Standard, um Verbundidentitäts-Flows vor Manipulationen zu schützen und die Authentizität jeder Zugriffsanforderung für externe Services sicherzustellen.
