Grâce à saml2! IDP délai d'expiration de session et de RES
Nous avons un grâce à saml2! IDP configuré avec la session du délai d'inactivité de 30 min. Après l'authentification Unique sur l'utilisateur est connecté avec succès dans la SP. Maintenant, le SP est également configuré pour SAML Déconnexion Unique (SLO). Il semble que même les utilisateurs qui travaillent dans le SP application, le temps de session arrive. Je me demandais si ce qui se passe en raison de session inactivité configurer @ IDP. J'aimerais comprendre comment l'IDP sait que les sessions utilisateur actives @ SP de sorte qu'il n'est pas question d'un SLO. Des idées ?
Je dirais que ce n'est pas vraiment une partie de la SAML spec et dépend de la façon dont votre idp est de construire, quel logiciel utilisez-vous pour les PDI?
Actuellement, je suis en train de tester cela avec MS ADF. Cependant, le temps de session pour IDP a été une question plus générale !!
Actuellement, je suis en train de tester cela avec MS ADF. Cependant, le temps de session pour IDP a été une question plus générale !!
OriginalL'auteur mithrandir | 2014-07-26
Vous devez vous connecter pour publier un commentaire.
Dans la plupart des cas de DÉPLACÉS implémentations de ne pas invoquer la déconnexion unique lors de l'IDP de la session expire. Une des raisons est que beaucoup de SP implémentations ne supportent pas la seule déconnexion à l'aide de backend canal (à l'aide d'un SAVON à l'appel) et c'est la seule liaison disponible dans cette situation.
Il est probable que votre SP de la session expire, car elle suit le paramètre
sessionNotOnOrAfter
qui est inclus dansAuthentication statement
deAssertion
inclus dansResponse
SAML message envoyé à partir de DÉPLACÉS lors de la connexion unique.Donc, pour répondre à votre question, votre SP sessions sont susceptibles expirant en raison de paramètres de votre IDP (qui définissent la valeur d'être envoyé dans
sessionNotOnOrAfter
), mais IDP n'a probablement pas de problème de déconnexion unique et ne pas communiquer avec votre SP en quelque sorte (c'est donc aussi du mal à savoir si SP session est encore utilisé ou pas).Vous voudrez peut-être regarder dans votre SP de la configuration et de voir si vous pouvez modifier son comportement concernant la
sessionNotOnOrAfter
de propriété, ou de modifier la valeur fournie à partir de DÉPLACÉS.C'est une supposition, votre environnement peut se comporter différemment de ce que je suis en supposant - ce que Stefan déjà commenté, ce comportement n'est pas normalisée.
Non, ce que je veux dire, c'est que lors de l'IDP de la session expire, la seule liaison qui peut être utilisé pour délivrer RES pour le SPs est à travers l'arrière-canal. L'expiration se produit dans la situation quand généralement, l'utilisateur n'est pas en interaction avec les DÉPLACÉS et les personnes déplacées ne peuvent donc pas utiliser avant la fin de la liaison, en tant que nécessiterait la disponibilité de l'agent utilisateur (= web brower). Bien sûr, lorsque l'utilisateur invoque explicitement déconnexion unique (= pas lors de l'expiration, mais par exemple en cliquant sur un bouton de déconnexion) les personnes déplacées et SPs pouvez utiliser avant-liaisons de canal pour l'exécuter.
De bon sens !! Merci pour la clarification.
OriginalL'auteur Vladimír Schäfer