Vous êtes ici :
Paramètres de l'application Web : Cryptage de la réponse SAML - Sélectionner
Ce paramètre de sécurité masque cryptographiquement toute l'assertion SAML contenant l'identité de l'utilisateur et les attributs d'autorisation en utilisant une clé publique fournie par le fournisseur de services avant la transmission.
Nom du contrôle
Applications connectées : Paramètres de l'application Web : Crypter la réponse SAML - Sélectionner
Configuration recommandée
Crypter la réponse SAML - Sélectionnez.
Vue d'ensemble du contrôle
Ce paramètre de sécurité masque cryptographiquement toute l'assertion SAML contenant l'identité de l'utilisateur et les attributs d'autorisation en utilisant une clé publique fournie par le fournisseur de services avant la transmission.
Risque de sécurité s'il n'est pas configuré
Les réponses SAML non cryptées pour les applications connectées au Web entraînent l'exposition d'attributs d'identité confidentiels et de réclamations d'autorisation aux écoutes au niveau du réseau qui peuvent intercepter le trafic d'authentification en texte brut.
Scénarios de menace
Un assaillant qui effectue une attaque de l'homme du milieu sur un segment de réseau non sécurisé capture une assertion SAML en texte brut afin d'extraire les identifiants d'utilisateur, les appartenances à des groupes et d'autres informations d'identification personnelle pour le piratage de sessions ou la reconnaissance.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le non-cryptage de la réponse facilite la récolte non autorisée de métadonnées utilisateur et augmente la vulnérabilité de l'entreprise au vol d'identifiants et à l'exploitation des comptes en aval dans l'écosystème fédéré.
Risque plus élevé quand
Le risque est significativement plus élevé lorsque l'assertion SAML contient des attributs personnalisés confidentiels tels que des ID d'employé ou des numéros de sécurité sociale, et est transmise à travers une infrastructure réseau publique ou non approuvée.
Risque faible quand
Si l'organisation impose déjà la sécurité de la couche transport de bout en bout et utilise des assertions éphémères limitées à des plages IP spécifiques et vérifiées.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation du cryptage d'assertion nécessite que le fournisseur de services conserve une clé privée valide pour décrypter la charge de travail entrante, ce qui ajoute une couche de gestion des certificats au cycle de vie de l'intégration.
Remédiation recommandée
Accédez aux Paramètres de l'application Web pour l'application connectée, sélectionnez l'option Crypter la réponse SAML, puis chargez le certificat de cryptage fourni par le fournisseur de services.
Guide d'examen sanitaire de sécurité
Security Health Review identifie le cryptage des réponses SAML comme une norme fortement recommandée pour préserver la confidentialité des assertions d'identité et empêcher la fuite de métadonnées utilisateur confidentielles pendant la poignée de main d'authentification.
