Grâce à saml2! IDP délai d'expiration de session et de RES

Nous avons un grâce à saml2! IDP configuré avec la session du délai d'inactivité de 30 min. Après l'authentification Unique sur l'utilisateur est connecté avec succès dans la SP. Maintenant, le SP est également configuré pour SAML Déconnexion Unique (SLO). Il semble que même les utilisateurs qui travaillent dans le SP application, le temps de session arrive. Je me demandais si ce qui se passe en raison de session inactivité configurer @ IDP. J'aimerais comprendre comment l'IDP sait que les sessions utilisateur actives @ SP de sorte qu'il n'est pas question d'un SLO. Des idées ?

Je dirais que ce n'est pas vraiment une partie de la SAML spec et dépend de la façon dont votre idp est de construire, quel logiciel utilisez-vous pour les PDI?
Actuellement, je suis en train de tester cela avec MS ADF. Cependant, le temps de session pour IDP a été une question plus générale !!

OriginalL'auteur mithrandir | 2014-07-26

  1. 6

    Dans la plupart des cas de DÉPLACÉS implémentations de ne pas invoquer la déconnexion unique lors de l'IDP de la session expire. Une des raisons est que beaucoup de SP implémentations ne supportent pas la seule déconnexion à l'aide de backend canal (à l'aide d'un SAVON à l'appel) et c'est la seule liaison disponible dans cette situation.

    Il est probable que votre SP de la session expire, car elle suit le paramètre sessionNotOnOrAfter qui est inclus dans Authentication statement de Assertion inclus dans Response SAML message envoyé à partir de DÉPLACÉS lors de la connexion unique.

    Donc, pour répondre à votre question, votre SP sessions sont susceptibles expirant en raison de paramètres de votre IDP (qui définissent la valeur d'être envoyé dans sessionNotOnOrAfter), mais IDP n'a probablement pas de problème de déconnexion unique et ne pas communiquer avec votre SP en quelque sorte (c'est donc aussi du mal à savoir si SP session est encore utilisé ou pas).

    Vous voudrez peut-être regarder dans votre SP de la configuration et de voir si vous pouvez modifier son comportement concernant la sessionNotOnOrAfter de propriété, ou de modifier la valeur fournie à partir de DÉPLACÉS.

    C'est une supposition, votre environnement peut se comporter différemment de ce que je suis en supposant - ce que Stefan déjà commenté, ce comportement n'est pas normalisée.

    Qui fait sens. Je vais vérifier que l'. Concernant votre première déclaration, voulez-vous dire que le RES est toujours exécutée par le biais de back-channel ? Dans le cas actuel, je suis en utilisant avant la fin de l'authentification unique à l'aide de SAML web-profil. Ma SP a un SLO point final à qui un HTTP post / redirect peut être fait.
    Non, ce que je veux dire, c'est que lors de l'IDP de la session expire, la seule liaison qui peut être utilisé pour délivrer RES pour le SPs est à travers l'arrière-canal. L'expiration se produit dans la situation quand généralement, l'utilisateur n'est pas en interaction avec les DÉPLACÉS et les personnes déplacées ne peuvent donc pas utiliser avant la fin de la liaison, en tant que nécessiterait la disponibilité de l'agent utilisateur (= web brower). Bien sûr, lorsque l'utilisateur invoque explicitement déconnexion unique (= pas lors de l'expiration, mais par exemple en cliquant sur un bouton de déconnexion) les personnes déplacées et SPs pouvez utiliser avant-liaisons de canal pour l'exécuter.
    De bon sens !! Merci pour la clarification.

    OriginalL'auteur Vladimír Schäfer