Ne pas utiliser de certificats de démonstration pour les configurations SAML actives [Mise à jour dans Security Center 1.5]
Contrôlez si les certificats de démonstration sont utilisés dans les configurations SAML de production.
Les certificats de démonstration fournis par ServiceNow ne doivent pas être utilisés dans les configurations SAML de production, car ils sont communs à toutes les instances avec une phrase de sécurité connue. Si l’une des propriétés SAML utilisant un magasin de clés de certificat est active (require_signed_authnrequest, require_signed_logoutrequestou encrypt_assertion), les données de démonstration ne doivent pas être utilisées. Étant donné que les données de démonstration sont partagées entre toutes les instances, l’intégrité des demandes signées avec des certificats partagés n’offre aucune garantie. Par conséquent, tout message chiffré par l’IDP pourrait être déchiffré par un acteur malveillant s’il était intercepté.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la configuration | glide.authenticate.sso.saml2.keystore |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | chaîne |
| Valeur recommandée | sys_id d’un magasin de clés personnalisé |
| Catégorie | Communications |
| Risque de sécurité |
|
| Dépendances et prérequis | Aucun |