Spring Security SAML SSO - Globale Abmeldung

Question

Ich bin auf der Suche nach Dokumentation der globalen Architektur Abmeldung, ich habe einige Links überprüft, aber ich habe ein Szenario, das ich nicht finden kann. Was passiert, wenn die lokale Sitzung eines SP abläuft? Ich habe ein Labor gemacht und festgestellt, dass der Sicherheitskontext verloren geht, wenn eine TimeOut der lokalen Sitzung auftritt. In dieser Architektur sollte die lokale Sitzung timeOut nicht ablaufen (SPs)?

Wenn Sie Dokumentationslinks für dieses Szenario haben, danke ihnen unendlich!

Answer 1

In SAMLv2 gibt es kein echtes Konzept für die Sitzungskorrelation. SAML-Assertions, die vom IdP ausgegeben werden, haben einen Gültigkeitssatz (Bedingungsattribute "NotBefore" und "NotOnOrAfter", die vom SP überprüft werden müssen). Eigentlich sollte der SP den IdP vor der Assertion abfragen (mit einem sogenannten "passiv AuthnRequest"), um zu überprüfen, ob die Sitzung am IdP noch gültig ist.

Einige IdP-Implementierungen verfügen über proprietäre Erweiterungen, um den SP zu benachrichtigen, wenn die IdP-Sitzung abläuft. Dies erfordert jedoch, dass die SOAP-Bindung von den SPs unterstützt wird, da sie 'out-of-band' stattfindet (ohne Benutzer-Agent-Interaktion).

Problemumgehung für Ihr Problem .... das (Leerlauf-) Zeitlimit der lokalen Sitzung muss höher sein als auf dem IdP.