N’utilisez pas de certificats de démonstration pour les configurations SAML actives [Mis à jour dans Centre de sécurité 1.5]
Contrôlez si des certificats de démonstration sont utilisés dans les configurations SAML de production.
Les certificats de démonstration fournis par ServiceNow ne doivent pas être utilisés dans les configurations SAML de production, car ils sont communs à toutes les instances avec une phrase de sécurité connue. Si l’une des propriétés SAML utilisant un magasin de clés de certificat est active (require_signed_authnrequest, require_signed_logoutrequestou encrypt_assertion), les données de démonstration ne doivent pas être utilisées. Étant donné que les données de démonstration sont partagées entre toutes les instances, il n’existe aucune garantie d’intégrité des demandes signées avec des certificats partagés. Par conséquent, tout message chiffré par l’IDP pourrait être déchiffré par un acteur malveillant s’il était intercepté.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la configuration | glide.authenticate.sso.saml2.keystore |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | chaîne |
| Valeur recommandée | sys_id d’un magasin de clés personnalisé |
| Valeur par défaut | chaîne vide |
| Catégorie | Communications |
| Risque de sécurité |
|
| Dépendances et prérequis | Néant |