요구 사항은 (상호) 인증, 무결성 및 기밀성 측면에서 표현되는 경우가 많으며 보안 메커니즘 선택은 구현자와 배포자에게 맡깁니다. 기본 SAML 사용 사례를 웹 브라우저 SSO(Single Sign-On)라고 합니다. 사용자는 사용자 에이전트(일반적으로 웹 브라우저)를 활용하여 SAML 서비스 공급자가 보호하는 웹 리소스를 요청합니다. 요청하는 사용자의 신원을 알고자 하는 서비스 제공자는 사용자 에이전트를 통해 SAML ID 제공자에게 인증 요청을 발행합니다.
일반 SAML 보안
다음 섹션에서는 SAML 사용 및 구현 시 보안 위험을 분석하고 위험을 완화하기 위해 miniOrange SAML SSO 플러그인/모듈 사용에 대한 대책을 설명합니다.
- SAML 어설션:
SAML 어설션 자체 수준에서는 보안 문제에 대해 언급할 내용이 거의 없습니다. 대부분의 문제는 요청/응답 프로토콜에서 통신하는 동안 또는 바인딩 중 하나를 통해 SAML을 사용하려고 시도하는 동안 발생합니다. 물론 소비자는 항상 어설션의 유효성 간격과 어설션에 존재하는 모든 요소를 존중해야 합니다. 그러나 어설션 수준의 한 가지 문제에는 분석이 포함됩니다. 즉, 일단 발행된 어설션은 발행자의 통제를 벗어납니다. 이 사실은 여러 가지 의미를 갖습니다. 예를 들어, 발행자는 어설션이 소비자 시스템에서 지속되는 기간을 제어할 수 없습니다. 또한 발행자는 소비자/서비스 제공자가 주장 정보를 공유할 당사자를 통제할 수 없습니다. 이러한 우려는 암호화되지 않은(또는 불충분하게 암호화된) 회선을 통해 전달되는 주장의 내용을 볼 수 있는 악의적인 공격자에 대한 우려보다 더 큽니다. SAML 사양 내에서 이러한 많은 문제를 해결하기 위한 노력이 이루어졌지만 사양에 포함된 어떤 내용도 어설션에 무엇을 넣을지에 대한 신중한 고려 요구 사항을 삭제하지 않습니다. 발행자는 어설션의 정보가 원격 사이트에 저장되어 직접 오용되거나 잠재적인 해커에게 노출되거나 더 창의적인 사기 용도로 저장될 수 있는 경우 발생할 수 있는 결과를 항상 고려해야 합니다. 발행자는 또한 주장에 포함된 정보가 의도적 또는 부주의로 다른 당사자와 공유되거나 심지어 공개될 가능성도 고려해야 합니다.
1.1. SAML 프로토콜:
다음 섹션에서는 특정 프로토콜 바인딩 사용으로 인해 발생하는 위협을 제외하고 SAML 요청-응답 프로토콜 자체에 대한 보안 고려 사항을 설명합니다.
1.1.1. 서비스 거부:
SAML 프로토콜은 서비스 거부(DOS) 공격에 취약합니다. SAML 요청 처리는 요청 메시지 구문 분석(일반적으로 DOM 트리 구성 포함), 데이터베이스/어설션 저장소 조회(인덱싱되지 않은 키에 대한 가능성), 응답 메시지 구성 및 하나 이상의 잠재적으로 비용이 많이 드는 작업입니다. 디지털 서명 작업. 따라서 공격자가 요청을 생성하는 데 필요한 노력은 해당 요청을 처리하는 데 필요한 노력보다 훨씬 적습니다.
1.1.2. 서명된 요청 요구
miniOrange SAML SSO 플러그인/모듈 서명 요청은 또한 SAML 플러그인과 응답자가 수행한 작업 간의 비대칭 순서를 좁힙니다. 서명을 확인하기 위해 응답자에게 필요한 추가 작업은 응답자에게 필요한 전체 작업 중 상대적으로 작은 비율인 반면, 디지털 서명을 계산하는 프로세스는 요청자에게 상대적으로 많은 양의 작업을 나타냅니다. 이러한 비대칭성을 좁히면 DOS 공격과 관련된 위험이 줄어듭니다. 그러나 공격자는 이론적으로 서명된 메시지를 캡처한 다음 지속적으로 재생할 수 있어 이 요구 사항을 피할 수 있습니다. XML 서명 요소를 사용하도록 요구하면 이러한 상황을 피할 수 있습니다. 타임스탬프를 포함합니다. 그러면 타임스탬프를 사용하여 서명이 최신인지 확인할 수 있습니다. 따라서 응답 발행 후 유효한 서명 기간이 좁아질수록 재생 서비스 거부 공격에 대한 보안이 강화됩니다.
2. SAML 바인딩 보안:
SAML 요청-응답 프로토콜 설계 시 보안 고려 사항은 사용되는 특정 프로토콜 바인딩(SAML 바인딩 사양 [SAMLBind]에 정의됨)에 크게 좌우됩니다. OASIS 보안 서비스 기술 위원회가 승인한 바인딩에는 SOAP 바인딩, PAOS(역방향 SOAP 바인딩), HTTP 리디렉션 바인딩, HTTP 리디렉션/POST 바인딩, HTTP 아티팩트 바인딩 및 SAML URI 바인딩이 있습니다. miniOrange SAML SSO 플러그인은 Http-Redirect 및 Http-POST 바인딩을 지원합니다.
2.1. HTTP 리디렉션 바인딩
2.1.2. 서비스 거부
위협: ID 제공업체 또는 서비스 제공업체 대상으로의 악의적인 리디렉션.
상품 설명 가짜 엔터티는 사용자 에이전트가 Single Sign-On을 방해하는 리소스에 액세스하도록 사용자 에이전트에 대한 리디렉션을 실행할 수 있습니다. 예를 들어, 공격자는 사용자 에이전트를 서비스 공급자의 로그아웃 리소스로 리디렉션하여 주체가 모든 기존 인증 세션에서 로그아웃되도록 할 수 있습니다.
대책 : 부작용을 생성하는 리소스에 대한 액세스는 현재 인증 세션과 일치해야 하는 임시 한정자로 지정됩니다. 또는 유사한 의미를 가진 임시 한정자에 의존하는 확인 대화 상자를 삽입할 수도 있습니다.
2.2. HTTP POST 바인딩
2.2.1. 도난당한 주장
위협: 도청자가 실제 사용자의 SAML 응답과 포함된 어설션을 복사할 수 있는 경우 도청자는 적절한 POST 본문을 구성하고 대상 사이트에서 사용자를 가장할 수 있습니다.
대책 : SAML SSO 플러그인과 사용자 브라우저 간에 응답이 전달될 때마다 우리는 기밀을 유지합니다. 이는 실제 사용자의 SAML 응답 및 어설션을 획득하는 도청자로부터 보호합니다. 도청자가 기밀 유지에 사용된 조치를 무효화하는 경우 추가 대응 조치를 사용할 수 있습니다.
● 아이덴티티 공급자와 서비스 공급자 사이트는 두 사이트의 시계 설정이 최대 몇 분 정도 차이가 나도록 합리적인 노력을 기울여야 합니다. 인터넷과 독점 소스를 통해 다양한 형태의 시간 동기화 서비스를 사용할 수 있습니다.
● 비 SSO SAML 프로필이 POST 바인딩을 사용하는 경우 수신자가 적시에 주체 확인을 수행할 수 있는지 확인해야 합니다. 이를 위해 주체에 대한 SAML 인증 주장이 게시된 양식 응답에 포함되어야 합니다.
● SSO 주장의 NotBefore 및 NotOnOrAfter 속성 값은 아이덴티티 공급자에서 서비스 공급자 사이트로의 성공적인 주장 통신과 일치하는 가능한 가장 짧은 유효 기간을 가져야 합니다. 이는 일반적으로 몇 분 정도 소요됩니다. 이렇게 하면 훔친 어설션이 짧은 시간 내에만 성공적으로 사용될 수 있습니다.
● miniOrange SAML SSO 플러그인은 아이덴티티 공급자 사이트에서 얻은 모든 주장의 유효 기간을 확인하고 만료된 주장을 거부합니다. 우리는 어설션의 IssueInstant 또는 AuthnInstant 속성 값이 어설션이 서비스 공급자 사이트에서 수신된 후 몇 분 이내가 되도록 요구하는 등 SSO 어설션에 대해 더 엄격한 유효성 테스트를 구현하기로 선택했습니다.
● 수신된 본인인증서에 다음과 같은 내용이 포함되어 있는 경우 요소를 사용자의 IP 주소와 함께 사용하면 서비스 공급자 사이트는 인증문에 포함된 IP 주소와 비교하여 브라우저 IP 주소를 확인할 수 있습니다.
2.2.2. 위조된 주장
위협: 악의적인 사용자 또는 브라우저 사용자가 SAML 어설션을 위조하거나 변경할 수 있습니다.
대책 : 브라우저/POST 프로필에는 SAML 어설션을 전달하는 SAML 응답이 서명되어야 하므로 메시지 무결성과 인증이 모두 제공됩니다. miniOrange SAML SSO 플러그인은 서명을 확인하고 발급자를 인증합니다.
2.2.3. 브라우저 상태 노출
위협: 브라우저/POST 프로필에는 웹 브라우저에서 서비스 공급자 사이트로 어설션을 업로드하는 작업이 포함됩니다. 이 정보는 웹 브라우저 상태의 일부로 제공되며 일반적으로 완전히 보안되지 않은 방식으로 사용자 시스템의 영구 저장소에 저장됩니다. 여기서 위협은 나중에 어설션이 "재사용"될 수 있다는 것입니다.
대책 : 이 프로필을 사용하여 전달되는 주장은 항상 수명이 짧아야 하며 SAML 어설션 요소. 서비스 공급자 사이트에서는 어설션이 재사용되지 않도록 해야 합니다.
2.2.4. 재생
위협: 재생 공격은 보호된 리소스에 부정하게 액세스하기 위해 양식을 다시 제출하는 것과 같습니다.
대책 : miniOrange SAML SSO 플러그인은 전송된 어설션이 일회용 속성을 갖도록 요구하여 재생 공격이 성공하지 못하도록 방지합니다.
2.2.5. 상태 정보의 수정 또는 노출
위협: 릴레이 상태 변조 또는 조작. 일부 메시지에는 요소는 생산자에 의해 무결성 보호되고 선택적으로 기밀성 보호가 권장됩니다. 이러한 관행을 따르지 않으면 공격자가 원치 않는 부작용을 유발할 수 있습니다. 또한 이 요소의 값을 기밀로 보호하지 않음으로써 합법적인 시스템 엔터티가 실수로 아이덴티티 공급자나 수동적 공격자에게 정보를 노출할 수 있습니다.
대책: RelayState 데이터를 보호하는 기밀성 및 무결성에 대한 권장 사례를 따르십시오. 참고: 이 요소의 값은 동일한 시스템 엔터티에 의해 생성되고 소비되기 때문에 대칭 암호화 기본 형식을 활용할 수 있습니다.
3. SAML 프로필 보안
SAML 프로필 사양 [SAMLProf]은 SAML 어설션을 프레임워크나 프로토콜에 포함하고 추출하는 방법을 설명하는 규칙 집합인 SAML 프로필을 정의합니다.
3.1. 웹 브라우저 SSO(Single Sign-On) 프로필
이 소스 사이트 인증과 관련된 문제와 마찬가지로 소스 사이트에서의 사용자 인증은 명시적으로 범위를 벗어납니다. 핵심 개념은 소스 시스템 엔터티가 상호 작용하는 인증된 클라이언트 시스템 엔터티가 다음 상호 작용 단계의 엔터티와 동일한지 확인할 수 있어야 한다는 것입니다. 이를 달성하는 한 가지 방법은 TLS를 초기 상호 작용(예: HTTP)에 사용되는 프로토콜 아래의 세션 계층으로 사용하여 수행하는 것입니다.
3.1.1. SSO 프로필
3.1.1.1. 메시지 수정
위협: 이 프로필 세트에는 스트림의 메시지가 변경될 가능성이 있습니다. 잠재적으로 바람직하지 않은 결과는 다음과 같습니다.
● 초기 요청을 변경하면 SAML 발급자에서 거부될 수 있습니다.
요청한 것과 다른 리소스를 대상으로 하는 아티팩트 생성
● 아티팩트를 변경하면 SAML 소비자에서 서비스 거부가 발생할 수 있습니다.
● 전송 중에 어설션 자체를 변경하면 온갖 종류의 결과가 발생할 수 있습니다.
나쁜 결과(서명되지 않은 경우) 또는 서비스 거부(서명되어 있고
소비자는 이를 거부합니다.)
대책 : 메시지 수정을 방지하려면 끝점에서 끝점으로 메시지 무결성을 보장하는 시스템을 통해 트래픽을 전송해야 합니다. 웹 브라우저 기반 프로필의 경우 전송 중 메시지 무결성을 제공하는 권장 방법은 데이터 무결성 검사를 제공하는 암호화 제품군과 함께 TLS/SSL을 통한 HTTP를 사용하는 것입니다.
3.1.2. 단일 로그아웃 프로필
위협: 수동적 공격자는 주체의 이름 식별자를 수집할 수 있습니다. 초기 단계에서 수동적 공격자는 다음과 같은 정보를 수집할 수 있습니다. 리디렉션에서 발행될 때의 정보입니다. 이러한 데이터를 노출하면 개인 정보 위협이 발생합니다.
대책 : 모든 교환은 SSL 또는 TLS와 같은 보안 전송을 통해 수행되어야 합니다.
위협: 서명되지 않은 가짜 시스템 엔터티에 의해 주입되어 주체에 대한 서비스를 거부할 수 있습니다. NameID가 추론되거나 파생될 수 있다고 가정하면 사용자 에이전트가 조작된 정보를 전달하도록 지시될 수 있습니다. 메시지.
대책 : miniOrange SAML SSO 플러그인/모듈은 메시지. 아이덴티티 공급자는 서명된 요청이 없는 경우에도 주체의 신원을 확인할 수 있습니다.
3.2. 이름 식별자 관리 프로필
위협: 시스템 엔터티가 정보를 연관시키거나 신원 정보를 부적절하게 노출하여 개인정보를 침해할 수 있도록 허용합니다.
대책 : IDP는 동일한 주체에 대해 여러 서비스 제공업체에서 서로 다른 이름 식별자를 사용하도록 주의해야 합니다. IDP는 서비스 제공자에게 반환하는 이름 식별자를 암호화하여 후속 상호 작용에서 불투명한 식별자를 사용할 수 있도록 해야 합니다.
3.2.1. 속성 프로필
속성 프로필과 관련된 바인딩과 관련된 위협은 위에서 논의되었습니다. 알려진 추가 프로필별 위협은 없습니다.
4. 요약
보안 및 개인 정보 보호는 사회 공학 공격, 정책 문제, 키 관리 및 신뢰 관리, 보안 구현 및 기타 요소와 같은 인적 문제가 이 문서의 범위를 벗어난다는 점을 고려하여 체계적인 방식으로 해결되어야 합니다. 보안 기술 솔루션에는 비용이 들기 때문에 요구 사항 및 정책 대안도 "필수" 법적 및 규제 요구 사항으로 간주되어야 합니다. 이 비표준 문서에는 개인 정보를 유지하는 안전한 방식으로 SAML 어설션, 프로토콜, 바인딩 및 프로필을 사용하기 위한 일반적인 보안 문제 및 접근 방식뿐만 아니라 특정 위협 및 대책도 요약되어 있습니다. 규범적 요구 사항은 규범적인 SAML 사양에 지정되어 있습니다.
