Projet

Général

Profil

Development #56865

idp_saml: définir sessionNotOnOrAfter à la moitié de la durée de la session A2

Ajouté par Benjamin Dauvergne il y a plus de 2 ans. Mis à jour il y a plus de 2 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
-
Début:
10 septembre 2021
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Si l'objectif est de prolonger la session quand le service est utilisé, il est important que celle-ci soit plus courte que celle sur l'IdP pour permettre à un SSO de prolonger celle-ci (et l'authentification qui a lieu revalide que c'est la bonne personne).

L'alternative c'est d'avoir un appel keepalive; dans feu MSP tous les TS devaient ajouter un pixel invisible chargé depuis l'IdP pour y maintenir la session, je préfère qu'on évite cette solution un peu sale.

L'effet visible avec notre configuration actuelle de 8h, c'est qu'au bout de 4h sur un service, on sera redirigé pour authentification sur l'IdP, c'est déjà ce qui se passe au bout de 8h, sauf qu'on a plus de session ouverte. Avec une session courte d'1h, si on accède au service dans la dernière demi-heure, on est réauthentifié de manière transparente et la session IdP est prolongée d'1h. Ça a surtout un impact pour les gens travaillant dans un BO (front portail-agent ou BO w.c.s.) longtemps.


Fichiers

Révisions associées

Révision 12fe40c0 (diff)
Ajouté par Benjamin Dauvergne il y a plus de 2 ans

idp_saml2: set sessionNotOnOrAfter to half the current session duration (#56865)

Historique

#3

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Ok dans l’idée mais
  • l’un des deux datetime a une info de fuseau horaire, l’autre non, la soustraction de l’un à l’autre plante.
  • le commentaire juste au dessus doit être mis à jour (en l’état c’est "Set SessionNotOnOrAfter to expiry date of the current session […]" (avec peut-être une petite explication de pourquoi le facteur ½ entre la session IdP et la valeur dans l’assertion ?)).
  • peut-être un test à coup de freezer pour vérifier le comportement souhaité, i.e. celui qui faciliterait les parcours usagers "pro" tel que décrit dans #56857 ?
#4

Mis à jour par Benjamin Dauvergne il y a plus de 2 ans

Voilà, je pense que j'ai répondu à tout (pas besoin de freezer, juste mesurer la différence entre durée de session locale et ce qui est donné au SP).

#5

Mis à jour par Paul Marillonnet il y a plus de 2 ans

  • Statut changé de Solution proposée à Solution validée

Yes.

#6

Mis à jour par Benjamin Dauvergne il y a plus de 2 ans

  • Statut changé de Solution validée à Résolu (à déployer)
commit 12fe40c0ae962c8822efdd2f5297a1c4b712d7fe
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Fri Sep 10 16:55:04 2021 +0200

    idp_saml2: set sessionNotOnOrAfter to half the current session duration (#56865)
#7

Mis à jour par Frédéric Péters il y a plus de 2 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF