Az - Federation
Temel Bilgiler
Dokümantasyondan:Federasyon, güven sağlamış olan alanların bir koleksiyonudur. Güven seviyesi değişebilir, ancak genellikle kimlik doğrulamayı ve neredeyse her zaman yetkilendirmeyi içerir. Tipik bir federasyon, bir dizi kaynağa paylaşılan erişim için güven sağlamış olan bir dizi organizasyonu içerebilir.
On-premises ortamınızı Azure AD ile federasyonlaştırabilir ve bu federasyonu kimlik doğrulama ve yetkilendirme için kullanabilirsiniz. Bu oturum açma yöntemi, tüm kullanıcı kimlik doğrulamalarının on-premises ortamda gerçekleştiğini sağlar. Bu yöntem, yöneticilerin daha sıkı erişim kontrol düzeyleri uygulamasına olanak tanır. AD FS ve PingFederate ile federasyon sağlanabilir.
Temel olarak, Federasyon'da tüm kimlik doğrulama on-premises ortamında gerçekleşir ve kullanıcılar güvendiği tüm ortamlarda SSO deneyimi yaşar. Bu nedenle, kullanıcılar on-prem kimlik bilgilerini kullanarak bulut uygulamalarına erişebilir.
Güvenlik Bildirimi İşaretleme Dili (SAML), sağlayıcılar arasında tüm kimlik doğrulama ve yetkilendirme bilgilerinin değiş tokuşu için kullanılır.
Herhangi bir federasyon kurulumunda üç taraf bulunur:
Kullanıcı veya İstemci
Kimlik Sağlayıcı (IdP)
Hizmet Sağlayıcı (SP)
(Resimler https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps adresinden alınmıştır)
İlk olarak, bir kullanıcı tarafından bir uygulama (AWS konsolu veya vSphere web istemcisi gibi Hizmet Sağlayıcı veya SP) erişilir. Bu adım, özel uygulamaya bağlı olarak, istemciyi doğrudan IdP'ye (Kimlik Sağlayıcı) yönlendirebilir.
Ardından, SP, kullanıcı kimlik doğrulaması için uygun IdP'yi (örneğin, AD FS, Okta) belirler. Ardından, bir SAML (Güvenlik Bildirimi İşaretleme Dili) AuthnRequest oluşturur ve istemciyi seçilen IdP'ye yönlendirir.
IdP, kullanıcıyı kimlik doğrulayarak devralır. Kimlik doğrulama sonrasında, bir SAMLResponse, IdP tarafından formüle edilir ve kullanıcı aracılığıyla SP'ye iletilir.
Son olarak, SP, SAMLResponse'u değerlendirir. IdP ile güven ilişkisini doğrulayan başarılı bir şekilde doğrulandığında, kullanıcı erişime izin verilir. Bu, oturum açma işleminin tamamlanması anlamına gelir ve kullanıcının hizmeti kullanmasına olanak tanır.
SAML kimlik doğrulaması ve yaygın saldırılar hakkında daha fazla bilgi edinmek isterseniz:
Pivoting
AD FS, iddialara dayalı bir kimlik modelidir.
"..iddialar, kullanıcılar hakkında yapılan (örneğin, ad, kimlik, grup gibi) beyanlardır ve çoğunlukla İnternet'teki herhangi bir yerde bulunan iddialara dayalı uygulamalara erişimi yetkilendirmek için kullanılır."
Bir kullanıcının iddiaları, SAML belgelerinin içine yazılır ve ardından IdP tarafından gizlilik sağlamak için imzalanır.
Bir kullanıcı, ImmutableID tarafından tanımlanır. Bu, küresel olarak benzersizdir ve Azure AD'de depolanır.
ImmutableID, kullanıcı için Azure AD'de saklanan bir on-premises asms-DS-ConsistencyGuid olabilir ve/veya kullanıcının GUID'inden türetilebilir.
Daha fazla bilgi için https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claims adresine bakın
Golden SAML saldırısı:
ADFS'de, SAML Yanıtı bir belge imzalama sertifikasıyla imzalanır.
Sertifika tehlikeye atılırsa, Azure AD'ye senkronize edilen HERHANGİ bir kullanıcı olarak kimlik doğrulaması yapmak mümkün olur!
PTA kötüye kullanımımız gibi, bir kullanıcı için şifre değişikliği veya MFA'nın herhangi bir etkisi olmayacaktır çünkü kimlik doğrulama yanıtını sahtecilik ediyoruz.
Sertifika, DA ayrıcalıklarıyla AD FS sunucusundan çıkarılabilir ve ardından herhangi bir internete bağlı makineden kullanılabilir.
Daha fazla bilgi için https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps adresine bakın
Golden SAML
Bir Kimlik Sağlayıcı (IdP)'nin kullanıcı oturum açmasını yetkilendirmek için bir SAMLResponse üretmesi işlemi önemlidir. IdP'nin belirli uygulamasına bağlı olarak, yanıt, IdP'nin özel anahtarını kullanarak imzalanmış veya şifrelenmiş olabilir. Bu işlem, Hizmet Sağlayıcı'nın (SP) SAMLResponse'un ot
Tüm bilgilerle, shimit kullanarak taklit etmek istediğiniz kullanıcı olarak geçerli bir SAMLResponse'u unutmak mümkündür:
On-prem -> buluta
Ayrıca, yalnızca bulut kullanıcılarının ImmutableID'sini oluşturmak ve onları taklit etmek mümkündür.
Referanslar
Last updated