위치:
웹 앱 설정: SAML을 활성화한 후 필수 정책을 구성합니다.
이 보안 설정은 ID 공급자와 웹 응용 프로그램 간의 보안 어설션 마크업 언어 교환을 보호하기 위해 필수 암호화 서명 알고리즘, 어설션 확인 규칙 및 서비스 공급자 끝점을 정의합니다.
제어 이름
연결된 앱: 웹 앱 설정: SAML을 활성화한 후 필수 정책을 구성합니다.
권장 구성
SAML을 활성화한 후 필수 정책을 구성합니다.
제어 개요
이 보안 설정은 ID 공급자와 웹 응용 프로그램 간의 보안 어설션 마크업 언어 교환을 보호하기 위해 필수 암호화 서명 알고리즘, 어설션 확인 규칙 및 서비스 공급자 끝점을 정의합니다.
구성되지 않은 경우 보안 위험
웹 응용 프로그램에 대한 SAML 정책 구성이 약하면 어설션 주입 및 표준 인증 프로토콜을 우회하는 XML 기반 공격을 통해 ID 스푸핑이 발생할 수 있습니다.
위협 시나리오
공격자가 암호화되지 않은 어설션을 가로채고 XML 서명 래핑 공격을 수행하거나 가짜 ID 클레임을 주입하여 높은 권한이 있는 사용자 세션에 대한 무단 액세스를 얻습니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
엄격한 SAML 정책을 적용하지 못하면 관리 계정 인계 및 지속적인 세션 하이재킹이 촉진되므로 상호 연결된 에코시스템 내의 모든 연합 데이터의 무결성이 잠재적으로 손상됩니다.
고위험 시점
회사에서 오래된 SHA-1 해시 알고리즘을 사용하거나 전송 중 전체 SAML 어설션의 암호화를 요구하지 않는 경우
낮은 위험 시기
회사에서 모든 디지털 서명에 SHA-256를 적용하고 재생 공격을 방지하기 위해 모든 인증 요청에 고유한, 단기간 지속되는 Nonce를 사용하는 경우
비즈니스 및 통합 고려 사항
강화된 SAML 정책을 구현하면 서비스 공급자가 고급 암호화 표준 및 특정 특성 매핑을 지원해야 하는 동시에 직원을 원활하게 싱글사인온할 수 있습니다.
권장 수정
연결된 앱의 웹 앱 설정으로 이동하여 SAML을 활성화하고 필수 보안 인증서를 업로드하는 동안 엔티티 ID, ACS URL, 제목 유형을 구성합니다.
보안 상태 검토 지침
보안 상태 검토는 연합 ID 플로를 조작으로부터 보호하고 모든 외부 서비스 액세스 요청의 신뢰성을 보장하기 위해 강력한 SAML 어설션 정책을 사용하는 것이 좋습니다.
