您在此处:
Web 应用程序设置:启用 SAML 后,配置所需的策略。
此安全设置定义了所需的加密签名算法、声明验证规则和服务提供商端点,以保护身份提供商和 Web 应用程序之间的安全声明标记语言交换。
控件名称
连接的应用程序:Web 应用程序设置:启用 SAML 后,配置所需的策略
推荐配置
启用 SAML 后,配置所需的策略。
控制概览
此安全设置定义了所需的加密签名算法、声明验证规则和服务提供商端点,以保护身份提供商和 Web 应用程序之间的安全声明标记语言交换。
安全风险(如果未配置)
Web 应用程序的弱 SAML 策略配置导致身份欺骗的风险,即通过绕过标准身份验证协议的声明注入和基于 XML 的攻击。
威胁场景
攻击者拦截未加密的声明并执行 XML 签名封装攻击或注入伪造的身份声明,以获取对高权限用户会话的未授权访问。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不实施严格的 SAML 策略会助长管理性帐户接管和持续的会话劫持,从而可能损害互联生态系统中所有聚合数据的完整性。
高风险
当公司使用过时的 SHA-1 散列算法或未能在传输过程中强制加密整个 SAML 声明时。
低风险
如果公司对所有数字签名强制执行 SHA-256,并对每个身份验证请求使用唯一的、短暂的随机数来防止重放攻击。
业务和集成注意事项
实施强化的 SAML 策略可确保员工无缝单点登录,同时要求服务提供商支持高级加密标准和特定属性映射。
建议的补救措施
转到连接的应用程序的 Web 应用程序设置,打开 SAML,并在上载所需的安全证书时配置实体 ID、ACS URL 和主题类型。
安全健康审查指导
安全健康审查将使用强大的 SAML 声明策略确定为强烈建议的标准,以保护联盟身份流免受篡改,并确保每个外部服务访问请求的真实性。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
