Windows 認証を許可するように FCC を設定する方法

目次
casso126jjp
目次
Single Sign-On
フォーム認証情報コレクタ(FCC)は、CA Services によりカスタム認証方式を安全にトリガできるように設計されています。そのため、FCC は、任意の認証方式についてユーザを認証できます。ただし、FCC はデフォルトでは Windows 認証方式に対して認証
しません
。この動作により、ある設定内で任意の有効な Windows ユーザの
Single Sign-On
セッションを生成するために、攻撃者が FCC を利用するのを防ぐことができます。
環境で FCC による Windows 認証方式での認証が必要な場合は、EnableFCCWindowsAuth エージェント設定パラメータを指定することにより、これを有効にできます。ただし、Windows 認証に対する FCC のサポートを有効にする前に、そのリスクを確認し、脆弱性が露出される設定に注意してください。
SM--SSO--Configure FCC for Windows Authentication.png
 
FCC による Windows 認証の許可を有効にすることによるリスク
デフォルトでは、FCC は Windows 認証方式で認証を行いません。ユーザは FCC による Windows 認証の許可を有効にできます。ただし、そうすることにより、攻撃者がある設定内で任意の有効な Windows ユーザの
Single Sign-On
セッションを生成するために FCC を使用する恐れがあるという脆弱性が露呈します。
この脆弱性は、HTML フォームで保護されるレルムと Windows で保護されるレルムの両方で、同じ
Single Sign-On
エージェント名またはエージェント グループ名が使用される設定で出現します。たとえば HTML フォーム認証および Windows 認証で設定されたそれぞれ別のレルムを保護するように、単一の Web エージェントが設定されている場合です。
以下のシナリオ例について考えてみます。
  • リソース A は HTML フォーム認証を使用して保護されたレルムに設定されています。FCC は HTML フォームにより、リソース A にアクセスするユーザを認証します。
  • リソース B は Windows 認証を使用して保護されたレルムに設定されています。リソース B にアクセスするユーザは Windows 認証を完了しています。
  • 両方のリソースは同じ IIS サーバ上でホストされ、同じ Web エージェントによって保護されます。そのため、両方のレルムは同じエージェント名で設定されます。
攻撃は次のように発生します。
  1. 攻撃者は HTML フォーム内の TARGET パラメータを、「リソース A」 から「リソース B」に変更します。
  2. 攻撃者は、任意の有効な Windows ユーザ名を使ってこのフォームをサブミットします。
  3. FCC はユーザ名を認証のためにポリシー サーバへ渡します。  
    Single Sign-On
    は、HTML フォーム認証方式の代わりに Windows 認証方式を実行し、ユーザ名が検証されます。
この結果、
Single Sign-On
セッションはユーザに戻され、新しいセッションが有効であると見なされる場合には、後続のすべての要求に対するシングル サインオンが可能になります。攻撃者は、その Windows ユーザ名が FCC にサブミットされたユーザを偽装するのです。
Windows 認証を許可するように FCC を設定
以下のエージェント設定パラメータを指定することにより Windows 認証を許可するように FCC を設定します。
  • EnableFCCWindowsAuth
    FCC として動作するエージェントが
    Single Sign-On
    Windows 認証方式が保護するリソースに対してユーザを認証できるかどうかを指定します。
    このパラメータには、以下の値を設定できます。
    • Yes - FCC は Windows 認証方式で認証できます。
      重要
      : このパラメータが Yes に設定されている場合、攻撃者は必要な認証情報を提供せずに、FCC を利用して Windows ユーザを偽装する可能性があります。
    • No - FCC は Windows 認証方式で認証できません。
    デフォルト:
    No