Development #56865
idp_saml: définir sessionNotOnOrAfter à la moitié de la durée de la session A2
0%
Description
Si l'objectif est de prolonger la session quand le service est utilisé, il est important que celle-ci soit plus courte que celle sur l'IdP pour permettre à un SSO de prolonger celle-ci (et l'authentification qui a lieu revalide que c'est la bonne personne).
L'alternative c'est d'avoir un appel keepalive; dans feu MSP tous les TS devaient ajouter un pixel invisible chargé depuis l'IdP pour y maintenir la session, je préfère qu'on évite cette solution un peu sale.
L'effet visible avec notre configuration actuelle de 8h, c'est qu'au bout de 4h sur un service, on sera redirigé pour authentification sur l'IdP, c'est déjà ce qui se passe au bout de 8h, sauf qu'on a plus de session ouverte. Avec une session courte d'1h, si on accède au service dans la dernière demi-heure, on est réauthentifié de manière transparente et la session IdP est prolongée d'1h. Ça a surtout un impact pour les gens travaillant dans un BO (front portail-agent ou BO w.c.s.) longtemps.
Fichiers
Révisions associées
Historique
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Fichier 0001-idp_saml2-set-sessionNotOnOrAfter-to-half-the-curren.patch 0001-idp_saml2-set-sessionNotOnOrAfter-to-half-the-curren.patch ajouté
- Patch proposed changé de Non à Oui
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- l’un des deux
datetime
a une info de fuseau horaire, l’autre non, la soustraction de l’un à l’autre plante. - le commentaire juste au dessus doit être mis à jour (en l’état c’est "Set SessionNotOnOrAfter to expiry date of the current session […]" (avec peut-être une petite explication de pourquoi le facteur ½ entre la session IdP et la valeur dans l’assertion ?)).
- peut-être un test à coup de freezer pour vérifier le comportement souhaité, i.e. celui qui faciliterait les parcours usagers "pro" tel que décrit dans #56857 ?
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Fichier 0001-idp_saml2-set-sessionNotOnOrAfter-to-half-the-curren.patch 0001-idp_saml2-set-sessionNotOnOrAfter-to-half-the-curren.patch ajouté
- Statut changé de Nouveau à Solution proposée
Voilà, je pense que j'ai répondu à tout (pas besoin de freezer, juste mesurer la différence entre durée de session locale et ce qui est donné au SP).
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Statut changé de Solution proposée à Solution validée
Yes.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 12fe40c0ae962c8822efdd2f5297a1c4b712d7fe Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Fri Sep 10 16:55:04 2021 +0200 idp_saml2: set sessionNotOnOrAfter to half the current session duration (#56865)
Mis à jour par Frédéric Péters il y a plus de 2 ans
- Statut changé de Résolu (à déployer) à Solution déployée
idp_saml2: set sessionNotOnOrAfter to half the current session duration (#56865)