Usted está aquí:
Configuración de aplicación web: Tras activar SAML, configurar el control de políticas requerido
Esta configuración de seguridad define los algoritmos de firma criptográfica requeridos, las reglas de validación de afirmaciones y los extremos del proveedor de servicio para proteger el intercambio de Idioma de marcado de afirmación de seguridad entre el proveedor de identidad y la aplicación web.
Nombre de control
Aplicaciones conectadas: Configuración de aplicación web: Tras activar SAML, configure las políticas requeridas
Configuración recomendada
Tras activar SAML, configure las políticas requeridas.
Descripción general de control
Esta configuración de seguridad define los algoritmos de firma criptográfica requeridos, las reglas de validación de afirmaciones y los extremos del proveedor de servicio para proteger el intercambio de Idioma de marcado de afirmación de seguridad entre el proveedor de identidad y la aplicación web.
Riesgo de seguridad si no está configurado
La configuración débil de la política SAML para aplicaciones web conlleva un riesgo de suplantación de identidad a través de inyección de afirmaciones y ataques basados en XML que omiten los protocolos de autenticación estándar.
Escenarios de amenazas
Un atacante intercepta una afirmación no cifrada y realiza un ataque de inclusión de firmas XML o inyecta una reclamación de identidad falsificada para obtener acceso no autorizado a una sesión de usuario de privilegios altos.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
No aplicar políticas SAML estrictas facilita la apropiación administrativa de cuentas y el secuestro persistente de sesiones, lo que podría comprometer la integridad de todos los datos federados dentro del ecosistema interconectado.
Riesgo más alto cuando
Cuando la empresa utiliza algoritmos de hash SHA-1 desfasados o no impone el cifrado de toda la afirmación SAML durante el tránsito.
Bajo riesgo cuando
Si la empresa aplica SHA-256 para todas las firmas digitales y utiliza un nonce único y de corta duración para cada solicitud de autenticación para evitar ataques de reproducción.
Consideraciones comerciales y de integración
La implementación de políticas SAML fortalecidas garantiza un inicio de sesión único sencillo para la plantilla de trabajo, al tiempo que requiere que el proveedor de servicio admita estándares criptográficos avanzados y asignaciones de atributos específicas.
Remediación recomendada
Vaya a Configuración de aplicación web para la aplicación conectada, active SAML y configure el Id. de entidad, la URL de ACS y el tipo de asunto mientras carga el certificado de seguridad requerido.
Directrices de revisión del estado de seguridad
Security Health Review identifica el uso de políticas de afirmación SAML sólidas como un estándar altamente recomendado para proteger flujos de identidad federados de manipulaciones y garantizar la autenticidad de cada solicitud de acceso a servicios externos.
