Vous êtes ici :
Paramètres de l'application Web : Algorithme de signature pour les messages SAML - Sélectionnez SHA256
Ce paramètre de sécurité spécifie l'utilisation de la variante 256 bits de l'algorithme de hachage sécurisé afin de générer des signatures numériques pour les assertions SAML.
Nom du contrôle
Applications connectées : Paramètres de l'application Web : Algorithme de signature pour les messages SAML - Sélectionnez SHA256
Configuration recommandée
Algorithme de signature pour les messages SAML : sélectionnez SHA256.
Vue d'ensemble du contrôle
Ce paramètre de sécurité spécifie l'utilisation de la variante 256 bits de l'algorithme de hachage sécurisé afin de générer des signatures numériques pour les assertions SAML, garantissant l'intégrité et l'authenticité de l'échange d'identité.
Risque de sécurité s'il n'est pas configuré
L'absence ou l'utilisation d'algorithmes de signature faibles pour les messages SAML entraîne une vulnérabilité à la falsification de certificats et au contournement du Identity Trust établi entre le fournisseur et l'application.
Scénarios de menace
Un assaillant exploite les vulnérabilités de collision connues dans des algorithmes hérités tels que SHA-1 pour falsifier une signature numérique d'apparence valide, ce qui lui permet d'injecter des réclamations administratives non autorisées dans le flux d'authentification.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'absence de normes de hachage modernes facilite la manipulation des assertions et l'usurpation d'identité, ce qui peut entraîner une totale compromission du système de gestion des accès fédéré.
Risque plus élevé quand
Lorsque le fournisseur de services n'applique pas automatiquement l'expiration de la signature ou lorsque la clé privée utilisée pour la signature est stockée dans un référentiel logiciel sans protection matérielle.
Risque faible quand
Si l'organisation impose déjà l'utilisation d'assertions SAML éphémères et force l'authentification multifacteur à chaque tentative de connexion fédérée.
Considérations relatives à l'entreprise et à l'intégration
La transition vers SHA-256 garantit la conformité aux normes de sécurité modernes de l'industrie, mais nécessite de confirmer que le fournisseur de services destinataire peut traiter les hachages cryptographiques 256 bits.
Remédiation recommandée
Accédez aux Paramètres de l'application Web pour l'application connectée, puis mettez à jour le champ Algorithme de signature pour sélectionner SHA256 avant d'enregistrer la configuration.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'application automatique de la signature SHA-256 comme une norme fortement recommandée pour empêcher les attaques cryptographiques et s'assurer que toutes les assertions d'identité restent résistantes aux modifications non autorisées.
