Ti trovi qui:
Impostazioni app Web: Dopo aver abilitato SAML, configurare le policy richieste.
Questa impostazione di protezione definisce gli algoritmi di firma crittografata, le regole di convalida delle asserzioni e gli endpoint dei fornitori di servizi necessari per proteggere lo scambio del linguaggio di markup dell'asserzione di sicurezza tra il provider di identità e l'applicazione Web.
Nome controllo
Applicazioni connesse: Impostazioni app Web: Dopo aver abilitato SAML, configurare le policy richieste
Configurazione consigliata
Dopo aver abilitato SAML, configurare le policy richieste.
Panoramica sul controllo
Questa impostazione di protezione definisce gli algoritmi di firma crittografata, le regole di convalida delle asserzioni e gli endpoint dei fornitori di servizi necessari per proteggere lo scambio del linguaggio di markup dell'asserzione di sicurezza tra il provider di identità e l'applicazione Web.
Rischio per la sicurezza se non configurato
Una configurazione debole delle policy SAML per le applicazioni Web comporta il rischio di falsificazione dell'identità tramite assertion injection e attacchi basati su XML che ignorano i protocolli di autenticazione standard.
Scenari di minaccia
Un aggressore intercetta un'asserzione non crittografata ed esegue un attacco di wrapping della firma XML o inserisce una richiesta di identità contraffatta per ottenere l'accesso non autorizzato a una sessione utente con privilegi elevati.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata applicazione di policy SAML rigorose facilita l'acquisizione amministrativa degli account e il persistente hijack della sessione, compromettendo potenzialmente l'integrità di tutti i dati federati all'interno dell'ecosistema interconnesso.
Rischio maggiore quando
Quando l'azienda utilizza algoritmi di hashing SHA-1 non aggiornati o non rende obbligatoria la crittografia dell'intera asserzione SAML durante il transito.
Basso rischio quando
Se l'azienda applica SHA-256 per tutte le firme digitali e utilizza un nonce univoco di breve durata per ogni richiesta di autenticazione per impedire attacchi replay.
Considerazioni su Business e integrazione
L'implementazione di policy SAML consolidate garantisce un Single Sign-On senza interruzioni per la forza lavoro, richiedendo al fornitore di servizi di supportare standard crittografici avanzati e mappature di attributi specifiche.
Rimedio consigliato
Accedere a Impostazioni app Web per l'applicazione connessa, attivare SAML e configurare l'ID entità, l'URL ACS e il tipo di oggetto durante il caricamento del certificato di sicurezza richiesto.
Guida all'esame dello stato della sicurezza
Security Health Review identifica l'uso di policy di asserzione SAML efficaci come standard fortemente consigliato per proteggere i flussi di identità federati da manipolazioni e garantire l'autenticità di ogni richiesta di accesso ai servizi esterni.
