Ti trovi qui:
Impostazioni app Web: Crittografia della risposta SAML - Selezionare
Questa impostazione di protezione nasconde in modo crittografico l'intera asserzione SAML contenente gli attributi di identità e autorizzazione dell'utente utilizzando una chiave pubblica fornita dal fornitore di servizi prima della trasmissione.
Nome controllo
Applicazioni connesse: Impostazioni app Web: Crittografa risposta SAML - Selezionare
Configurazione consigliata
Crittografa risposta SAML - Seleziona.
Panoramica sul controllo
Questa impostazione di protezione nasconde in modo crittografico l'intera asserzione SAML contenente gli attributi di identità e autorizzazione dell'utente utilizzando una chiave pubblica fornita dal fornitore di servizi prima della trasmissione.
Rischio per la sicurezza se non configurato
Le risposte SAML non crittografate per le applicazioni connesse al Web portano all'esposizione di attributi di identità sensibili e richieste di autorizzazione a intercettatori a livello di rete che possono intercettare il traffico di autenticazione in formato testo normale.
Scenari di minaccia
Un aggressore che esegue un attacco man-in-the-middle a un segmento di rete non sicuro acquisisce un'asserzione SAML in formato testo normale per estrarre identificativi utente, appartenenze ai gruppi e altre informazioni personali per eseguire un hijack della sessione o una ricognizione.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata crittografia della risposta facilita la raccolta non autorizzata dei metadati degli utenti e aumenta la vulnerabilità dell'azienda al furto di credenziali e allo sfruttamento degli account a valle in tutto l'ecosistema federato.
Rischio maggiore quando
Il rischio è significativamente più elevato quando l'asserzione SAML contiene attributi personalizzati sensibili come ID dipendente o numeri di previdenza sociale e viene trasmessa attraverso un'infrastruttura di rete pubblica o non affidabile.
Basso rischio quando
Se l'organizzazione impone già la protezione end-to-end del livello di trasporto e utilizza asserzioni di breve durata limitate a intervalli IP specifici e verificati.
Considerazioni su Business e integrazione
L'implementazione della crittografia delle asserzioni richiede che il fornitore di servizi mantenga una chiave privata valida per decrittografare il payload in entrata, il che aggiunge un livello di gestione dei certificati al ciclo di vita dell'integrazione.
Rimedio consigliato
Accedere a Impostazioni app Web per l'applicazione connessa, selezionare l'opzione Crittografa risposta SAML e caricare il certificato di crittografia fornito dal fornitore di servizi.
Guida all'esame dello stato della sicurezza
Security Health Review identifica la crittografia delle risposte SAML come uno standard fortemente consigliato per mantenere la riservatezza delle asserzioni di identità e impedire la fuga di metadati sensibili degli utenti durante la stretta di mano di autenticazione.
