詳細情報:
Web アプリケーション設定: SAML を有効にしたら、必要なポリシーを設定します。
このセキュリティ設定では、ID プロバイダーと Web アプリケーション間のセキュリティアサーションマークアップ言語の交換を保護するために必要な暗号署名アルゴリズム、アサーション入力規則、およびサービスプロバイダーエンドポイントを定義します。
コントロール名
接続アプリケーション: Web アプリケーション設定: SAML を有効にしたら、必要なポリシーを設定します。
推奨設定
SAML を有効にしたら、必要なポリシーを設定します。
制御の概要
このセキュリティ設定では、ID プロバイダーと Web アプリケーション間のセキュリティアサーションマークアップ言語の交換を保護するために必要な暗号署名アルゴリズム、アサーション入力規則、およびサービスプロバイダーエンドポイントを定義します。
設定されていない場合のセキュリティリスク
Web アプリケーションの SAML ポリシー設定が弱いと、アサーションインジェクションや、標準認証プロトコルをバイパスする XML ベースの攻撃によって ID スプーフィングのリスクが生じます。
脅威のシナリオ
攻撃者は、暗号化されていないアサーションを傍受して XML 署名ラッピング攻撃を実行するか、偽造 ID 要求を挿入して、高権限ユーザーセッションへの不正アクセスを取得します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
厳格な SAML ポリシーを適用しないと、管理アカウントの乗っ取りや永続的なセッションハイジャックが促進され、相互接続されたエコシステム内のすべての統合データの整合性が低下する可能性があります。
より高いリスク
会社が古い SHA-1 ハッシュアルゴリズムを使用している場合、または転送中に SAML アサーション全体の暗号化を義務付けていない場合。
低リスク
リプレイ攻撃を防ぐために、会社がすべてのデジタル署名に SHA-256 を適用し、認証要求ごとに一意の短命の nonce を使用している場合。
ビジネスと統合に関する考慮事項
強化された SAML ポリシーを実装することで、ワークフォースのシームレスなシングルサインオンが保証されると同時に、サービスプロバイダーは高度な暗号化標準と特定の属性の対応付けをサポートする必要があります。
推奨される修復
[接続アプリケーションの Web アプリケーション設定] に移動して SAML を有効にし、必要なセキュリティ証明書をアップロードするときにエンティティ ID、ACS URL、件名種別を設定します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、統合 ID フローを操作から保護し、すべての外部サービスアクセス要求の信頼性を確保するために、堅牢な SAML アサーションポリシーを使用することを強く推奨する標準として特定します。
