您位於此處:
網頁應用程式設定:啟用 SAML 後,設定必要原則。
此安全性設定會定義必要的密碼編譯簽署演算法、判斷式驗證規則和服務提供者端點,以保護身分提供者與 Web 應用程式之間的「安全性判斷式標記語言」交換。
控制名稱
連線的應用程式:網頁應用程式設定:啟用 SAML 後,設定必要原則
建議組態
啟用 SAML 後,請設定必要原則。
控制概觀
此安全性設定會定義必要的密碼編譯簽署演算法、判斷式驗證規則和服務提供者端點,以保護身分提供者與 Web 應用程式之間的「安全性判斷式標記語言」交換。
未設定安全性風險
Web 應用程式的弱 SAML 原則組態會導致透過判斷式插入和以 XML 為基礎的攻擊略過標準驗證通訊協定的身分詐騙風險。
威脅情況
攻擊者會攔截未加密的判斷式並執行 XML 簽章包裝攻擊,或插入虛假的身分宣告,以取得高權限使用者工作階段的未經授權存取權。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法強制執行嚴格的 SAML 原則,進而促進管理帳戶接管和持續性工作階段劫持,進而可能影響互連生態系統內所有聯合資料的完整性。
風險愈高時機
當公司使用過期的 SHA-1 雜湊演算法,或無法在傳輸期間要求加密整個 SAML 判斷式時。
低度風險時機
如果公司針對所有數位簽章強制執行 SHA-256 並針對每個驗證要求使用唯一且短暫的 nonce,以防止重新執行攻擊。
業務與整合考量事項
實作強化的 SAML 原則可確保人力順暢單一登入,同時要求服務提供者支援進階加密標準和特定屬性對應。
建議的補救措施
前往連線的應用程式的「Web 應用程式設定」,開啟 SAML,並在上載必要的安全性憑證時設定實體識別碼、ACS URL 和主題類型。
安全性健康檢閱指南
Security Health Review 將使用強大的 SAML 判斷式原則識別為強烈建議的標準,以保護聯合身分流程免受操作,並確保每個外部服務存取要求的真實性。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
