SAML令牌

如果对手拥有有效的SAML令牌签名证书，他们可能会伪造具有任何权限声明和生命周期的SAML令牌。(引用: Microsoft SolarWinds Steps) SAML令牌的默认生命周期为一小时，但可以在令牌的conditions ...元素中的NotOnOrAfter值中指定有效期。可以使用LifetimeTokenPolicy中的AccessTokenLifetime更改此值。(引用: Microsoft SAML Token Lifetimes) 伪造的SAML令牌使对手能够在使用SAML 2.0作为单点登录（SSO）机制的服务之间进行身份验证。(引用: Cyberark Golden SAML) 对手可能会利用私钥来破坏组织的令牌签名证书，以创建伪造的SAML令牌。如果对手有足够的权限与他们自己的Active Directory联合服务（AD FS）服务器建立新的联合信任，他们可能会生成自己的受信任令牌签名证书。(引用: Microsoft SolarWinds Customer Guidance) 这与窃取应用程序访问令牌和其他类似行为不同，因为这些令牌是由对手新伪造的，而不是从合法用户那里窃取或拦截的。 如果伪造的SAML令牌声称代表一个高度特权的账户，对手可能会获得管理Entra ID的权限。这可能导致使用替代身份验证材料，从而绕过多因素和其他身份验证保护机制。(引用: Microsoft SolarWinds Customer Guidance)