您位於此處:
網頁應用程式設定:加密 SAML 回應 - 選取
此安全性設定會使用服務提供者在傳輸前提供的公用金鑰,以密碼方式混淆包含使用者身分與授權屬性的整個 SAML 判斷式。
控制名稱
連線的應用程式:網頁應用程式設定:加密 SAML 回應 - 選取
建議組態
加密 SAML 回應 - 選取。
控制概觀
此安全性設定會使用服務提供者在傳輸前提供的公用金鑰,以密碼方式混淆包含使用者身分與授權屬性的整個 SAML 判斷式。
未設定安全性風險
網路連線應用程式的未加密 SAML 回應會將敏感身分屬性和授權宣告公開給可攔截純文字驗證流量的網路層級聆聽者。
威脅情況
攻擊者對不安全的網路區段執行中間人攻擊,以純文字的 SAML 判斷式來提取使用者識別碼、群組成員資格和其他個人可識別資訊,以用於工作階段劫持或偵測。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
加密回應失敗可促進未經授權收集使用者中繼資料,並增加公司在整個聯合生態系統中遭遇認證竊取和下游帳戶剝削的漏洞。
風險愈高時機
當 SAML 判斷式包含敏感自訂屬性 (例如員工識別碼或社會安全號碼),並在公用或不受信任的網路基礎結構之間傳輸時,風險會明顯增加。
低度風險時機
如果組織已要求端對端傳輸層安全性,並使用僅限於特定已驗證 IP 範圍的短暫判斷式。
業務與整合考量事項
實作判斷加密需要服務提供者維護有效的私人金鑰,以解密傳入裝載,這會將一層憑證管理新增至整合生命週期。
建議的補救措施
前往連線的應用程式的「Web 應用程式設定」,選取「加密 SAML 回應」的選項,然後上載服務提供者提供的加密憑證。
安全性健康檢閱指南
Security Health Review 將 SAML 回應的加密識別為強烈建議的標準,以維護身分判斷式的機密性,並防止在驗證接觸期間敏感使用者中繼資料洩漏。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
