Usted está aquí:
Configuración de aplicación web: Tras activar SAML, configure las políticas requeridas.
Esta configuración de seguridad define los algoritmos de firma criptográfica requeridos, las reglas de validación de afirmaciones y los extremos del proveedor de servicio para proteger el intercambio de Lenguaje de marcado de afirmación de seguridad entre el proveedor de identidad y la aplicación web.
Nombre de control
Aplicaciones conectadas: Configuración de aplicación web: Tras activar SAML, configure las políticas requeridas
Configuración recomendada
Tras activar SAML, configure las políticas requeridas.
Descripción general de control
Esta configuración de seguridad define los algoritmos de firma criptográfica requeridos, las reglas de validación de afirmaciones y los extremos del proveedor de servicio para proteger el intercambio de Lenguaje de marcado de afirmación de seguridad entre el proveedor de identidad y la aplicación web.
Riesgo de seguridad si no está configurado
La configuración débil de políticas SAML para aplicaciones web lleva a un riesgo de suplantación de identidad a través de inyección de afirmaciones y ataques basados en XML que omiten protocolos de autenticación estándar.
Escenarios de amenazas
Un atacante intercepta una afirmación no cifrada y realiza un ataque de inclusión de firmas XML o inyecta una reclamación de identidad falsificada para obtener acceso no autorizado a una sesión de usuario de alto privilegio.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
No aplicar políticas SAML estrictas facilita la adquisición administrativa de cuentas y el secuestro persistente de sesiones, comprometiendo potencialmente la integridad de todos los datos federados dentro del ecosistema interconectado.
Mayor riesgo cuando
Cuando la compañía utiliza algoritmos de hash SHA-1 desfasados o falla en ordenar el cifrado de la afirmación SAML completa durante el tránsito.
Bajo riesgo cuando
Si la compañía aplica SHA-256 para todas las firmas digitales y utiliza un nonce único y de corta duración para cada solicitud de autenticación para evitar ataques de reproducción.
Consideraciones de negocio e integración
La implementación de políticas SAML endurecidas garantiza un inicio de sesión único sencillo para la plantilla laboral, al tiempo que requiere que el proveedor de servicio admita estándares criptográficos avanzados y asignaciones de atributos específicas.
Remediación recomendada
Vaya a Configuración de aplicación web para la aplicación conectada, active SAML y configure el Id. de entidad, la URL de ACS y el tipo de asunto mientras carga el certificado de seguridad requerido.
Directrices de revisión del estado de seguridad
Security Health Review identifica el uso de políticas de afirmación SAML sólidas como un estándar altamente recomendado para proteger flujos de identidad federados de manipulaciones y garantizar la autenticidad de cada solicitud de acceso a servicios externos.
