您在此处:
Web 应用程序设置:加密 SAML 响应 - 选择
此安全设置使用服务提供商在传输前提供的公钥,以加密方式混淆包含用户身份和授权属性的整个 SAML 声明。
控件名称
连接的应用程序:Web 应用程序设置:加密 SAML 响应 - 选择
推荐配置
加密 SAML 响应 - 选择。
控制概览
此安全设置使用服务提供商在传输前提供的公钥,以加密方式混淆包含用户身份和授权属性的整个 SAML 声明。
安全风险(如果未配置)
Web 连接的应用程序的未加密 SAML 响应导致敏感身份属性和授权声明暴露给可以拦截明文身份验证流量的网络级窃听者。
威胁场景
对不安全网络段执行中间人攻击的攻击者会捕获明文 SAML 声明,以提取用户标识符、小组成员关系和其他个人身份信息,从而进行会话劫持或侦测。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不加密响应会助长未经授权收集用户元数据,并增加公司在整个联盟生态系统中遭受凭据盗窃和下游帐户利用的脆弱性。
高风险
当 SAML 声明包含敏感的自定义属性(例如员工 ID 或社会保险号)并在公共或不可信的网络基础设施中传输时,风险要大得多。
低风险
如果组织已强制实施端到端传输层安全性,并使用仅限于特定已验证 IP 范围的短期声明。
业务和集成注意事项
实施声明加密需要服务提供商维护有效的私钥来解密传入的有效负载,这为集成生命周期添加了一层证书管理。
建议的补救措施
转到连接的应用程序的 Web 应用程序设置,选择加密 SAML 响应选项,并上传服务提供商提供的加密证书。
安全健康审查指导
安全运行状况审查将 SAML 响应的加密确定为强烈建议的标准,以保持身份声明的保密性,并防止身份验证握手期间敏感用户元数据泄露。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
