Project

General

Profile

Development #56865

idp_saml: définir sessionNotOnOrAfter à la moitié de la durée de la session A2

Added by Benjamin Dauvergne 18 days ago. Updated 14 days ago.

Status:
Solution proposée
Priority:
Normal
Category:
-
Target version:
-
Start date:
10 Sep 2021
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Si l'objectif est de prolonger la session quand le service est utilisé, il est important que celle-ci soit plus courte que celle sur l'IdP pour permettre à un SSO de prolonger celle-ci (et l'authentification qui a lieu revalide que c'est la bonne personne).

L'alternative c'est d'avoir un appel keepalive; dans feu MSP tous les TS devaient ajouter un pixel invisible chargé depuis l'IdP pour y maintenir la session, je préfère qu'on évite cette solution un peu sale.

L'effet visible avec notre configuration actuelle de 8h, c'est qu'au bout de 4h sur un service, on sera redirigé pour authentification sur l'IdP, c'est déjà ce qui se passe au bout de 8h, sauf qu'on a plus de session ouverte. Avec une session courte d'1h, si on accède au service dans la dernière demi-heure, on est réauthentifié de manière transparente et la session IdP est prolongée d'1h. Ça a surtout un impact pour les gens travaillant dans un BO (front portail-agent ou BO w.c.s.) longtemps.


Files

History

#3

Updated by Paul Marillonnet 15 days ago

Ok dans l’idée mais
  • l’un des deux datetime a une info de fuseau horaire, l’autre non, la soustraction de l’un à l’autre plante.
  • le commentaire juste au dessus doit être mis à jour (en l’état c’est "Set SessionNotOnOrAfter to expiry date of the current session […]" (avec peut-être une petite explication de pourquoi le facteur ½ entre la session IdP et la valeur dans l’assertion ?)).
  • peut-être un test à coup de freezer pour vérifier le comportement souhaité, i.e. celui qui faciliterait les parcours usagers "pro" tel que décrit dans #56857 ?
#4

Updated by Benjamin Dauvergne 14 days ago

Voilà, je pense que j'ai répondu à tout (pas besoin de freezer, juste mesurer la différence entre durée de session locale et ce qui est donné au SP).

Also available in: Atom PDF