Usted estĆ” aquĆ:
ConfiguraciĆ³n de aplicaciĆ³n web: Cifrar respuesta SAML: Seleccione
Esta configuraciĆ³n de seguridad confunde criptogrĆ”ficamente la afirmaciĆ³n SAML completa que contiene atributos de autorizaciĆ³n e identidad de usuario utilizando una clave pĆŗblica proporcionada por el proveedor de servicio antes de la transmisiĆ³n.
Nombre de control
Aplicaciones conectadas: ConfiguraciĆ³n de aplicaciĆ³n web: Cifrar respuesta SAML: Seleccione
ConfiguraciĆ³n recomendada
Cifrar respuesta SAML: Seleccione.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad confunde criptogrĆ”ficamente la afirmaciĆ³n SAML completa que contiene atributos de autorizaciĆ³n e identidad de usuario utilizando una clave pĆŗblica proporcionada por el proveedor de servicio antes de la transmisiĆ³n.
Riesgo de seguridad si no estĆ” configurado
Las respuestas SAML no cifradas para aplicaciones conectadas a la web conducen a la exposiciĆ³n de atributos de identidad confidenciales y reclamaciones de autorizaciĆ³n a escuchas a nivel de red que pueden interceptar el trĆ”fico de autenticaciĆ³n de texto sin formato.
Escenarios de amenazas
Un atacante que realiza un ataque de intermediario en un segmento de red inseguro captura una afirmaciĆ³n SAML de texto sin formato para extraer identificadores de usuario, pertenencias a grupos y otra informaciĆ³n de identificaciĆ³n personal para el secuestro de sesiones o el reconocimiento.
Intervalo de puntuaciĆ³n de CVSS estimado
Alto (7,0ā8,9).
Consideraciones sobre el impacto del riesgo
No cifrar la respuesta facilita la recopilaciĆ³n no autorizada de metadatos de usuarios y aumenta la vulnerabilidad de la empresa al robo de credenciales y la explotaciĆ³n de cuentas descendentes en el ecosistema federado.
Riesgo mƔs alto cuando
El riesgo es significativamente mayor cuando la afirmaciĆ³n SAML contiene atributos personalizados confidenciales como Id. de empleado o nĆŗmeros de seguridad social y se transmite a travĆ©s de infraestructura de red pĆŗblica o no de confianza.
Bajo riesgo cuando
Si la organizaciĆ³n ya impone la seguridad de la capa de transporte de extremo a extremo y utiliza afirmaciones de corta duraciĆ³n restringidas a intervalos de IP especĆficos verificados.
Consideraciones comerciales y de integraciĆ³n
La implementaciĆ³n del cifrado de afirmaciones requiere que el proveedor de servicio mantenga una clave privada vĆ”lida para descifrar la carga entrante, lo que agrega una capa de gestiĆ³n de certificados al ciclo de vida de integraciĆ³n.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de aplicaciĆ³n web para la aplicaciĆ³n conectada, seleccione la opciĆ³n Cifrar respuesta SAML y cargue el certificado de cifrado proporcionado por el proveedor de servicio.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica el cifrado de respuestas SAML como un estĆ”ndar altamente recomendado para mantener la confidencialidad de afirmaciones de identidad y evitar la fuga de metadatos de usuarios confidenciales durante el apretĆ³n de manos de autenticaciĆ³n.
