SAML 2.0 أفضل ممارسات تسجيل الخروج الفردي بعد عدم نشاط موفر الخدمة

فهم تسجيل الخروج الفردي لـ SAML 2.0 بعد انتهاء مهلة الجلسة

نظرًا لأن أنظمة الدخول الموحد (SSO) SAML 2.0 تسمح للمستخدمين بتسجيل الدخول إلى تطبيقات مختلفة باستخدام مجموعة واحدة من بيانات الاعتماد، فقد قامت بتبسيط مصادقة المستخدم إلى حد كبير. ولكن هناك أيضًا مشكلات مهمة تتعلق بفكرة تسجيل الخروج الفردي (SLO)، خاصة فيما يتعلق بما يحدث عندما تنتهي جلسة المستخدم لدى مزود الخدمة (SP) لأنه لم يسجل الدخول. في هذه الحالة، يجب على موفر الهوية (IDP) نهاية الجلسة كذلك؟

تعد إدارة الجلسة بين مقدم الخدمة وIDP أمرًا ضروريًا لضمان الوصول الآمن والفعال في سياق SAML 2.0. ليس من الواضح دائمًا متى تنتهي جلسة SP إذا كان المستخدم لا يزال متصلاً بموفر الهوية (IDP)، الأمر الذي قد يكون له تأثير على التطبيقات الأخرى المرتبطة بنفس موفر الهوية (IDP). وهذا يثير تساؤلات حول سهولة الاستخدام وكذلك الأمان.

يجب وضع أفضل الممارسات الواضحة للتعامل مع مهلات الجلسة هذه من قبل العديد من الشركات، خاصة تلك التي تستخدم واجهات مثل Microsoft Entra. هل من الأفضل أن تتوقف جلسة مقدم الخدمة ببساطة عند مستوى مقدم الخدمة، أم يجب أن يؤدي ذلك أيضًا إلى SLO يقوم بتسجيل خروج المستخدم من حساب IDP الخاص به؟

باستخدام أمثلة من العالم الحقيقي لتوضيح التقنيات الأكثر كفاءة للتعامل مع مهلات الجلسة وضمان الأمان وسهولة الاستخدام، تتناول هذه الورقة الممارسات والمعايير القياسية للتعامل مع أحداث SAML 2.0 SLO في مثل هذه المواقف.

تحسين تسجيل الخروج الفردي باستخدام معالجة مهلة جلسة SAML 2.0

استخدام Node.js و Express، يركز البرنامج النصي للواجهة الخلفية للتعامل مع تسجيل الخروج الفردي (SLO) على القدرة على تتبع انتهاء صلاحية جلسة المستخدم وبدء تسلسل تسجيل الخروج على مستويات موفر الخدمة (SP) وموفر الهوية (IDP). تكمن إدارة الجلسات السريعة في قلب هذا المنطق. نقوم بإنشاء نقطة انطلاق عن طريق ضبط الجلسة على الانتهاء بعد فترة محددة مسبقًا من عدم النشاط - عشر دقائق، في مثالنا. عند انتهاء الجلسة، يستخدم البرنامج النصي طريقة `create_logout_request_url()} لبدء طلب تسجيل خروج SAML 2.0، والذي يتصل بعد ذلك بموفر الهوية (في هذه الحالة، مايكروسوفت انترا) لإنهاء جلسة المستخدم بالكامل. يؤدي ذلك إلى تعزيز الأمان من خلال ضمان تسجيل خروج المستخدم بالكامل من النظام.

نحن تحميل شهادات SAML والمفاتيح في التطبيق باستخدام الأمر `readFileSync()} لتمكين الاتصال الآمن بين SP (MyApp) وIDP (Microsoft Entra). من خلال مصادقة طلب تسجيل الخروج، تحمي هذه الشهادات من عمليات تسجيل الخروج غير القانونية وتضمن بقاء الاتصال مشفرًا ومؤكدًا. يتم إرسال المستخدم إلى عنوان URL لطلب تسجيل الخروج بعد إنشائه، حيث يقوم IDP بمعالجة تسجيل الخروج، وإذا لزم الأمر، ينهي جلسة المستخدم عبر أي تطبيقات مرتبطة. يتطلب الحفاظ على أمان وسلامة عمليات تثبيت الدخول الموحد (SSO) متعددة التطبيقات هذا الاتصال ثنائي الاتجاه.

يعد برنامج JavaScript النصي ضروريًا لتتبع أنشطة المستخدم في الوقت الفعلي على الواجهة الأمامية. في كل مرة يتفاعل فيها المستخدم مع البرنامج، نقوم بإعادة تعيين مهلة الجلسة باستخدام مستمعي الأحداث مثل "onmousemove" و"onkeypress". يقوم المؤقت الذي تم ضبطه باستخدام `setTimeout()` بتنبيه المستخدم وتسجيل خروجه تلقائيًا من SP (MyApp) عندما يصبح المستخدم خاملاً. بعد تسجيل الخروج، تبدأ عملية تسجيل الخروج SAML 2.0 التي تمت تغطيتها مسبقًا من خلال البرنامج النصي للواجهة الأمامية الذي يرسل طلب SLO إلى الواجهة الخلفية باستخدام `fetch()`. تتأكد هذه التقنية من معالجة عدم النشاط على مستوى مقدم الخدمة بشكل سريع وآمن ودون فشل.

عندما يتم تكامل SAML 2.0 و إدارة الجلسة يتم دمجها، مما يجعل تجربة المستخدم سلسة ويتم الحفاظ على معايير الأمان. من أجل منع المستخدم من البقاء مصادقًا لفترة أطول مما هو مسموح به أثناء عدم النشاط، تبدأ مهلة الجلسة تسجيل خروج SP المحلي وتسجيل خروج IDP. على الرغم من أن SAML 2.0 لا يتطلب أي سلوك معين فيما يتعلق بمهلة الجلسة، إلا أنه من المقبول عمومًا كأفضل ممارسة استخدام انتهاء صلاحية الجلسة لبدء SLO. من خلال إنهاء الجلسات الخاملة، فإنه يحقق التوازن بين الأمان وتجربة المستخدم من خلال تمكين عمليات تسجيل الخروج المتزامنة عبر مختلف الأنظمة الأساسية المتصلة بـ SSO.

// Required modules for Node.js and SAML SSO
const express = require('express');
const session = require('express-session');
const saml2 = require('saml2-js');
const app = express();

// Service Provider (SP) setup
const sp = new saml2.ServiceProvider({
  entity_id: "http://myapp.com/metadata.xml",
  private_key: fs.readFileSync("./cert/sp-private-key.pem").toString(),
  certificate: fs.readFileSync("./cert/sp-certificate.pem").toString(),
  assert_endpoint: "http://myapp.com/assert"
});

// Identity Provider (IDP) setup
const idp = new saml2.IdentityProvider({
  sso_login_url: "https://login.microsoftonline.com/sso",
  sso_logout_url: "https://login.microsoftonline.com/logout",
  certificates: fs.readFileSync("./cert/idp-certificate.pem").toString()
});

// Session management
app.use(session({
  secret: 'mySecretKey',
  resave: false,
  saveUninitialized: true,
  cookie: { maxAge: 600000 } // Set session expiration time
}));

// Middleware to handle session timeout and SLO
app.use((req, res, next) => {
  if (req.session.expires && Date.now() > req.session.expires) {
    sp.create_logout_request_url(idp, {}, (err, logout_url) => {
      if (err) return res.status(500).send("Logout error");
      return res.redirect(logout_url); // Trigger SLO
    });
  } else {
    next(); // Continue if session is valid
  }
});

app.listen(3000, () => {
  console.log("Server running on port 3000");
});

// Define variables for session timeout
let timeoutDuration = 600000; // 10 minutes
let timeoutTimer;

// Reset the timer on any user interaction
function resetTimer() {
  clearTimeout(timeoutTimer);
  timeoutTimer = setTimeout(triggerLogout, timeoutDuration);
}

// Trigger logout function
function triggerLogout() {
  alert("Session expired due to inactivity.");
  window.location.href = "/logout"; // Redirect to SP logout
}

// Monitor user actions
window.onload = resetTimer;
document.onmousemove = resetTimer;
document.onkeypress = resetTimer;

// SLO event triggered after logout
function sendSLORequest() {
  fetch('/api/slo', { method: 'POST' })
    .then(response => {
      if (response.ok) {
        console.log("SLO request sent to IDP");
      }
    })
    .catch(err => console.error("SLO request failed", err));
}

استكشاف SAML 2.0: تسجيل الخروج الفردي ومهلة عدم النشاط

كيف يعالج SAML 2.0 تسجيل الخروج الفردي (SLO). عدم النشاط على مستوى مقدم الخدمة (SP) يعد عنصرًا حاسمًا يجب إدارته. على الرغم من أنه من الواضح أن تسجيل الخروج اليدوي في SP يجب أن يتسبب في تسجيل خروج موفر الهوية (IDP) أيضًا، إلا أن انتهاء مهلة الجلسة بسبب عدم النشاط يزيد الأمور تعقيدًا. لا يوضح معيار SAML 2.0 كيفية التعامل مع SLO عند انتهاء صلاحية الجلسة. ومع ذلك، يسمح هذا باعتماد أفضل الممارسات التي يمكنها تحسين تجربة المستخدم وأمانه.

على سبيل المثال، حتى بعد إغلاق مزود الخدمة بسبب عدم النشاط، فإن المستخدمين الذين يقومون بتسجيل الدخول إلى تطبيق مثل MyApp من خلال Microsoft Entra (IDP) يظلون مسجلين دخولهم بشكل متكرر إلى IDP. إذا اعتقد المستخدم أنه تم تسجيل خروجه بالكامل بينما لا تزال التطبيقات الأخرى التي تستخدم نفس تسجيل الدخول الموحّد (SSO) قيد التشغيل، فقد يؤدي ذلك إلى حدوث ذلك المخاوف الأمنية. يعد إعداد إدارة جلسة SAML لتقليد حدث مهلة SP على مستوى IDP وضمان عمليات تسجيل الخروج المتزامنة إحدى الطرق لتقليل هذه المخاطر.

يعد تنفيذ كود الواجهة الأمامية لتقنيات الكشف عن الخمول عاملاً آخر. يمكن للمطورين توقع أوقات عدم النشاط وتنبيه المستخدمين قبل انتهاء صلاحية الجلسة باستخدام مستمعي الأحداث لنشاط المستخدم. باستخدام هذا، يمكن للمستخدمين الاحتفاظ بالتحكم في جلساتهم والتأكد من أن جلساتهم جلسة الدخول الموحّد (SSO). لا يعمل بشكل مستمر. في بيئة SSO المتكاملة، يمكن للمطورين الحفاظ على الأمان وراحة المستخدم من خلال تحقيق التوازن بين هذه العوامل.