Bug #4177: SAML Logout chaining is unstable - Authentic 2 - Redmine Entr’ouvert

Bug #4177

SAML Logout chaining is unstable

Ajouté par Benjamin Dauvergne il y a plus de 10 ans. Mis à jour il y a plus de 10 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Gestion d'identité

Catégorie:

SAML

Version cible:

Début:

20 décembre 2013

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Planning:

Description

Using iframe does not work with Chrome as chrome does not wait for iframe loading to send the onload event to the logout page. Loading unroutable IP 1.0.0.1 to delay the onload event does not work either as its broken status can be cached by navigators so next it's loaded directly without waiting. It could also be filtered by a local firewall which would make the loading fails fast.

Fichiers

0001-idp-saml-use-a-templat-to-render-logout-fragments.patch (3,94 ko) 0001-idp-saml-use-a-templat-to-render-logout-fragments.patch		Benjamin Dauvergne, 20 décembre 2013 15:02
0001-saml-add-field-to-sp-option-policys-to-control-the-w.patch (26,2 ko) 0001-saml-add-field-to-sp-option-policys-to-control-the-w.patch		Benjamin Dauvergne, 20 décembre 2013 15:30
0002-idp-saml-send-logout-using-iframe-or-img-tags-depend.patch (2,29 ko) 0002-idp-saml-send-logout-using-iframe-or-img-tags-depend.patch		Benjamin Dauvergne, 20 décembre 2013 15:30

Historique

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Fichier 0001-idp-saml-use-a-templat-to-render-logout-fragments.patch 0001-idp-saml-use-a-templat-to-render-logout-fragments.patch ajouté

Premier patch qui remplace le rendu des iframe de logout par l'utilisation d'un template.

L'objectif à terme est de permettre de choisir entre <iframe> ou <img> selon le fournisseur de service (si c'est un idp avec proxy logout, on utilise une iframe et un timeout conséquent, sinon on utilise un tag <img>).

Mis à jour par Frédéric Péters il y a plus de 10 ans

Pour mémoire, la spec, "After any unspecified interactions may have taken place, the SAML responder returns the HTTP response below containing the signed SAML response message." (section non normative "3.4.8 Example SAML Message Exchange Using HTTP Redirect" de saml-bindings-2.0-os.pdf).

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Ça n'apporte rien cet extrait ou bien ?

Mis à jour par Frédéric Péters il y a plus de 10 ans

Non, c'est assez désolant.

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Un autre patch qui ajoute une option iframe ou pas, et un dernier qui utilise cette option pour générer soit une iframe soit une img dans le code de logout du backend IDP saml.

Mis à jour par Thomas Noël il y a plus de 10 ans

Testé sur la dev d'Orléans, ça me permet d'avoir un mode "img" qui marche bien. J'ai aussi testé le mode iframe (avec un seul SP), marche aussi. Pour ma part c'est ok.

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Statut changé de Nouveau à Solution déployée

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Statut changé de Solution déployée à Fermé

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Authentic 2

Demandes

Rapports personnalisés

Bug #4177

SAML Logout chaining is unstable

Historique

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Mis à jour par Frédéric Péters il y a plus de 10 ans

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Mis à jour par Frédéric Péters il y a plus de 10 ans

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Mis à jour par Thomas Noël il y a plus de 10 ans

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans

Mis à jour par Benjamin Dauvergne il y a plus de 10 ans