위치:
웹 앱 설정: SAML 응답 암호화 - 선택
이 보안 설정은 전송 전에 서비스 공급자가 제공한 공개 키를 사용하여 사용자 ID 및 권한 부여 특성을 포함하는 전체 SAML 어설션을 암호화 방식으로 난독화합니다.
제어 이름
연결된 앱: 웹 앱 설정: SAML 응답 암호화 - 선택
권장 구성
SAML 응답 암호화 - 선택합니다.
제어 개요
이 보안 설정은 전송 전에 서비스 공급자가 제공한 공개 키를 사용하여 사용자 ID 및 권한 부여 특성을 포함하는 전체 SAML 어설션을 암호화 방식으로 난독화합니다.
구성되지 않은 경우 보안 위험
웹 연결된 앱의 암호화되지 않은 SAML 응답으로 인해 민감한 ID 특성 및 인가 청구가 일반 텍스트 인증 트래픽을 가로채기할 수 있는 네트워크 수준 청취자에게 노출됩니다.
위협 시나리오
안전하지 않은 네트워크 세그먼트에 대한 가로채기 공격을 수행하는 공격자가 세션 하이재킹 또는 인사이트를 위해 사용자 식별자, 그룹 구성원 및 기타 개인 식별 정보를 추출하기 위해 일반 텍스트 SAML 어설션을 캡처합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
응답을 암호화하지 못하면 사용자 메타데이터를 무단으로 수집할 수 있으며, 연합 에코시스템 전반에서 자격 증명 도난 및 다운스트림 계정 활용에 대한 회사의 취약성이 높아집니다.
위험이 높은 경우
SAML 어설션에 직원 ID 또는 사회 보장 번호와 같은 중요한 사용자 정의 특성이 포함되어 있고 공개 또는 신뢰할 수 없는 네트워크 인프라를 통해 전송되는 경우 위험이 크게 높습니다.
낮은 위험 시기
조직에서 이미 종단간 전송 계층 보안을 요구하고 특정한 확인된 IP 범위로 제한되는 단기간 어설션을 사용하는 경우
비즈니스 및 통합 고려 사항
어설션 암호화를 구현하려면 서비스 공급자가 들어오는 페이로드를 해독하기 위해 유효한 비공개 키를 유지해야 하며, 이는 통합 수명 주기에 인증서 관리 계층을 추가합니다.
권장 수정
연결된 앱의 웹 앱 설정으로 이동하여 SAML 응답 암호화 옵션을 선택하고 서비스 공급자가 제공하는 암호화 인증서를 업로드합니다.
보안 상태 검토 지침
보안 상태 검토는 ID 어설션의 기밀성을 유지하고 인증 핸드샷 중에 민감한 사용자 메타데이터가 누출되는 것을 방지하기 위해 SAML 응답 암호화를 적극 권장하는 표준으로 식별합니다.
