Você está aqui:
Configurações do aplicativo da Web: Criptografar resposta SAML – Selecionar
Essa configuração de segurança ofusca criptograficamente toda a declaração SAML contendo atributos de autorização e identidade do usuário usando uma chave pública fornecida pelo provedor de serviços antes da transmissão.
Nome do controle
Aplicativos conectados: Configurações do aplicativo da Web: Criptografar resposta SAML – Selecionar
Configuração recomendada
Criptografar resposta SAML – Selecionar.
Visão geral de controle
Essa configuração de segurança ofusca criptograficamente toda a declaração SAML contendo atributos de autorização e identidade do usuário usando uma chave pública fornecida pelo provedor de serviços antes da transmissão.
Risco de segurança, se não configurado
Respostas SAML não criptografadas para aplicativos conectados à Web levam à exposição de atributos de identidade confidenciais e reivindicações de autorização a usuários que escutam no nível da rede que podem interceptar o tráfego de autenticação em texto simples.
Cenários de ameaça
Um invasor que executa um ataque man-in-the-middle em um segmento de rede inseguro captura uma declaração SAML de texto simples para extrair identificadores de usuário, associações de grupo e outras informações de identificação pessoal para sequestro ou reconhecimento de sessão.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A falha em criptografar a resposta facilita a coleta não autorizada de metadados do usuário e aumenta a vulnerabilidade da empresa ao roubo de credenciais e à exploração de conta a jusante em todo o ecossistema federado.
Risco maior quando
O risco é significativamente maior quando a declaração SAML contém atributos personalizados confidenciais, como IDs de funcionários ou números de previdência social, e é transmitida em uma infraestrutura de rede pública ou não confiável.
Baixo risco quando
Se a organização já exigir a segurança da camada de transporte de ponta a ponta e usar declarações de curta duração restritas a intervalos de IP específicos verificados.
Considerações de negócios e integração
A implementação da criptografia de declaração exige que o provedor de serviços mantenha uma chave privada válida para descriptografar a carga útil recebida, o que adiciona uma camada de gerenciamento de certificado ao ciclo de vida da integração.
Remediação recomendada
Acesse as Configurações do aplicativo da Web para o aplicativo conectado, selecione a opção para Criptografar resposta SAML e carregue o certificado de criptografia fornecido pelo provedor de serviços.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a criptografia de respostas SAML como um padrão altamente recomendado para manter a confidencialidade das declarações de identidade e evitar o vazamento de metadados confidenciais do usuário durante o apelido de autenticação.
