Vous êtes ici :
Paramètres de l'application Web : Après avoir activé SAML, configurez le contrôle des stratégies requis
Ce paramètre de sécurité définit les algorithmes de signature cryptographique, les règles de validation d'assertion et les points de terminaison de fournisseur de services requis pour sécuriser l'échange de langage de balisage d'assertion de sécurité entre le fournisseur d'identité et l'application Web.
Nom du contrôle
Applications connectées : Paramètres de l'application Web : Après avoir activé SAML, configurez les stratégies requises
Configuration recommandée
Après avoir activé SAML, configurez les stratégies requises.
Vue d'ensemble du contrôle
Ce paramètre de sécurité définit les algorithmes de signature cryptographique, les règles de validation d'assertion et les points de terminaison de fournisseur de services requis pour sécuriser l'échange de langage de balisage d'assertion de sécurité entre le fournisseur d'identité et l'application Web.
Risque de sécurité s'il n'est pas configuré
Une configuration de stratégie SAML faible pour les applications Web entraîne un risque d'usurpation d'identité via l'injection d'assertion et des attaques basées sur XML qui contournent les protocoles d'authentification standard.
Scénarios de menace
Un assaillant intercepte une assertion non cryptée et effectue une attaque d'enveloppe de signature XML ou injecte une réclamation d'identité falsifiée pour obtenir un accès non autorisé à une session utilisateur à privilèges élevés.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le non-respect de politiques SAML strictes facilite la prise de contrôle administrative des comptes et le piratage persistant des sessions, ce qui peut compromettre l'intégrité de toutes les données fédérées dans l'écosystème interconnecté.
Risque plus élevé quand
Lorsque l'entreprise utilise des algorithmes de hachage SHA-1 obsolètes ou ne parvient pas à imposer le cryptage de l'assertion SAML complète pendant le transit.
Risque faible quand
Si l'entreprise applique automatiquement SHA-256 pour toutes les signatures numériques et utilise un nonce unique et éphémère pour chaque requête d'authentification afin d'empêcher les attaques en relecture.
Considérations relatives à l'entreprise et à l'intégration
La mise en œuvre de stratégies SAML renforcées garantit une authentification unique transparente pour la force de travail tout en demandant au fournisseur de services de prendre en charge les normes cryptographiques avancées et le mappage d'attributs spécifiques.
Remédiation recommandée
Accédez aux Paramètres de l'application Web pour l'application connectée, activez SAML, puis configurez l'ID d'entité, l'URL ACS et le type d'objet en chargeant le certificat de sécurité requis.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'utilisation de stratégies d'assertion SAML robustes comme une norme fortement recommandée pour protéger les flux d'identité fédérés contre la manipulation et garantir l'authenticité de chaque demande d'accès à un service externe.
