Sie befinden sich hier:
Webanwendungseinstellungen: SAML-Antwort verschlüsseln – Auswählen
Diese Sicherheitseinstellung verschleiert die gesamte SAML-Behauptung, die Benutzeridentität und Autorisierungsattribute enthält, kryptografisch mithilfe eines öffentlichen Schlüssels, der vom Serviceanbieter vor der Übertragung bereitgestellt wurde.
Steuerelementname
Verbundene Anwendungen: Webanwendungseinstellungen: SAML-Antwort verschlüsseln – Auswählen
Empfohlene Konfiguration
SAML-Antwort verschlüsseln – Auswählen.
Steuerelementübersicht
Diese Sicherheitseinstellung verschleiert die gesamte SAML-Behauptung, die Benutzeridentität und Autorisierungsattribute enthält, kryptografisch mithilfe eines öffentlichen Schlüssels, der vom Serviceanbieter vor der Übertragung bereitgestellt wurde.
Sicherheitsrisiko, wenn nicht konfiguriert
Unverschlüsselte SAML-Antworten für webverbundene Anwendungen führen dazu, dass vertrauliche Identitätsattribute und Autorisierungsansprüche für Abhörer auf Netzwerkebene angezeigt werden, die den Nur-Text-Authentifizierungsverkehr abfangen können.
Bedrohungsszenarien
Ein Angreifer, der einen Man-in-the-Middle-Angriff auf ein unsicheres Netzwerksegment ausführt, erfasst eine SAML-Behauptung im Nur-Text-Format, um Benutzerkennzeichner, Gruppenmitgliedschaften und andere personenbezogene Informationen für das Session-Hijacking oder die Aufklärung zu extrahieren.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn die Antwort nicht verschlüsselt wird, wird die nicht autorisierte Erfassung von Benutzermetadaten erleichtert und das Unternehmen ist anfälliger für Diebstahl von Anmeldeinformationen und Ausbeutung nachgelagerter Accounts im gesamten Verbundökosystem.
Höheres Risiko, wenn
Das Risiko ist deutlich höher, wenn die SAML-Behauptung sensible benutzerdefinierte Attribute wie Mitarbeiter-IDs oder Sozialversicherungsnummern enthält und über die öffentliche oder nicht vertrauenswürdige Netzwerkinfrastruktur übertragen wird.
Geringes Risiko, wenn
Wenn die Organisation bereits die Sicherheit der durchgängigen Transportebene vorschreibt und kurzlebige Behauptungen verwendet, die auf bestimmte überprüfte IP-Bereiche beschränkt sind.
Überlegungen zu Unternehmen und Integration
Bei der Implementierung der Behauptungsverschlüsselung muss der Serviceanbieter einen gültigen privaten Schlüssel verwalten, um die eingehende Nutzlast zu entschlüsseln, wodurch dem Integrationslebenszyklus eine Ebene der Zertifikatsverwaltung hinzugefügt wird.
Empfohlene Sanierung
Wechseln Sie zu den Webanwendungseinstellungen für die verbundene Anwendung, wählen Sie die Option SAML-Antwort verschlüsseln aus und laden Sie das vom Serviceanbieter bereitgestellte Verschlüsselungszertifikat hoch.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Verschlüsselung von SAML-Antworten als dringend empfohlenen Standard, um die Vertraulichkeit von Identitätsbehauptungen zu wahren und das Verlieren vertraulicher Benutzermetadaten während des Authentifizierungs-Handshakes zu verhindern.
