U bent hier:
Webappinstellingen: Configureer na het inschakelen van SAML de vereiste beleidsvormen.
Deze beveiligingsinstelling definieert de vereiste algoritmen voor cryptografische ondertekening, definitievalidatieregels en eindpunten van de serviceprovider om de uitwisseling van de mark-uptaal voor beveiligingsdefinities tussen de identiteitsleverancier en de webtoepassing te beveiligen.
Controlenaam
Verbonden apps: Webappinstellingen: Configureer na het inschakelen van SAML de vereiste beleidsvormen
Aanbevolen configuratie
Configureer na het inschakelen van SAML de vereiste beleidsvormen.
Overzicht van besturingselementen
Deze beveiligingsinstelling definieert de vereiste algoritmen voor cryptografische ondertekening, definitievalidatieregels en eindpunten van de serviceprovider om de uitwisseling van de mark-uptaal voor beveiligingsdefinities tussen de identiteitsleverancier en de webtoepassing te beveiligen.
Beveiligingsrisico indien niet geconfigureerd
Zwakke SAML-beleidsconfiguratie voor webtoepassingen leidt tot een risico op identiteitsvervalsing via definitie-injectie en op XML gebaseerde aanvallen die standaardauthenticatieprotocollen omzeilen.
Dreigingsscenario's
Een aanvaller onderschept een niet-versleutelde definitie en voert een XML-aanval met signature wrapping uit of injecteert een vervalste identiteitsclaim om ongeoorloofde toegang te krijgen tot een gebruikerssessie met veel rechten.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als u geen strikt SAML-beleid afdwingt, worden administratieve accountovername en aanhoudende sessie-overname vergemakkelijkt, wat de integriteit van alle gebundelde gegevens binnen het onderling verbonden ecosysteem in gevaar kan brengen.
Hoger risico wanneer
Wanneer het bedrijf verouderde SHA-1-hashalgoritmen gebruikt of de encryptie van de gehele SAML-definitie tijdens transport niet verplicht stelt.
Laag risico wanneer
Als het bedrijf SHA-256 afdwingt voor alle digitale handtekeningen en een unieke, kortstondige nonce gebruikt voor elk authenticatieverzoek om replay-aanvallen te voorkomen.
Overwegingen bij bedrijf en integratie
Het implementeren van verhard SAML-beleid zorgt voor naadloze Single Sign-On voor het personeel, terwijl de serviceprovider geavanceerde cryptografische standaarden en specifieke toewijzing van kenmerken moet ondersteunen.
Aanbevolen oplossing
Ga naar de webappinstellingen voor de verbonden app, schakel SAML in en configureer de entiteits-ID, de URL van ACS en het onderwerptype tijdens het uploaden van het vereiste beveiligingscertificaat.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het gebruik van robuuste SAML-definitiebeleidsvormen als een sterk aanbevolen standaard om gebundelde identiteitsstromen te beschermen tegen manipulatie en de authenticiteit van elk verzoek om toegang tot externe services te waarborgen.
