Entendre la tancació única de SAML 2.0 després del temps d'espera de la sessió
Com que els sistemes d'inici de sessió únic (SSO) SAML 2.0 permeten als usuaris iniciar sessió en diverses aplicacions mitjançant un únic conjunt de credencials, han simplificat considerablement l'autenticació dels usuaris. Però també hi ha problemes importants amb la noció de tancament únic (SLO), especialment pel que fa al que passa quan la sessió d'un usuari caduca en un proveïdor de serveis (SP) ja que no ha iniciat sessió. En aquest cas, si el proveïdor d'identitat (IDP) també acaba la sessió?
La gestió de sessions entre el SP i l'IDP és essencial per garantir un accés segur i eficient en el context de SAML 2.0. No sempre és obvi quan acaba una sessió SP si l'usuari encara ha d'estar connectat a l'IDP, cosa que podria tenir un impacte en altres aplicacions que estiguin vinculades al mateix IDP. Això planteja preguntes sobre la usabilitat i la seguretat.
Moltes empreses, especialment aquelles que utilitzen interfícies com Microsoft Entra, han d'establir una bona pràctica clara per gestionar aquests temps d'espera de sessions. És millor que la sessió d'un SP s'aturi simplement al nivell de SP, o també hauria de donar lloc a un SLO que tanqui la sessió de l'usuari del seu compte d'IDP?
Utilitzant exemples del món real per il·lustrar les tècniques més eficients per gestionar els temps d'espera de les sessions i garantir tant la seguretat com la usabilitat, aquest article examina les pràctiques estàndard i els estàndards per gestionar els esdeveniments SAML 2.0 SLO en aquestes situacions.
| Comandament | Exemple d'ús |
|---|---|
| session() | S'utilitza a l'aplicació Express per controlar les sessions dels usuaris. A l'exemple, ajuda a supervisar l'activitat de l'usuari i els temps d'espera de la sessió perquè la lògica de tancament de sessió es pugui activar quan sigui necessari. |
| maxAge | Especifica el període de temps en què la galeta de sessió és vàlida. En aquest cas, el temporitzador està configurat per caducar després de 600.000 mil·lisegons, o 10 minuts, i iniciar un esdeveniment de tancament de sessió. |
| create_logout_request_url() | Quan finalitza la sessió del proveïdor de serveis, l'URL de sol·licitud de tancament únic (SLO) creat per aquest mètode de biblioteca SAML2 es reenvia al proveïdor d'identitat (IDP). |
| readFileSync() | Llegeix els fitxers de claus i els certificats de forma sincrònica, que és necessari per configurar el proveïdor de serveis SAML2. Perquè el proveïdor de serveis i el proveïdor d'identitat es comuniquin de manera segura, aquestes certificacions són necessàries. |
| assert_endpoint | Indica l'URL que, després de l'autenticació correcta, utilitzarà el proveïdor d'identitat per transmetre l'asserció SAML. D'aquesta manera, es garanteix el nivell d'autenticació de l'usuari del proveïdor de serveis. |
| window.onload | Aquest esdeveniment s'utilitza per restablir el temporitzador d'inactivitat de la sessió a la interfície. S'assegura que quan l'usuari carrega el programa per primera vegada, el temporitzador es torna a començar. |
| onmousemove | Per restablir el temporitzador de sessió, aquest oient d'esdeveniments detecta qualsevol moviment del ratolí. És essencial per vigilar el comportament dels usuaris i evitar temps d'espera de sessió accidentals. |
| fetch() | S'utilitza per enviar de manera asíncrona una sol·licitud SLO, després del temps d'espera de la sessió, al servidor. Per connectar-se amb el proveïdor d'identitat i tancar la sessió de l'usuari de l'IDP, activa la lògica de fons. |
| setTimeout() | Aquesta funció del codi de la interfície fa que l'esdeveniment de temps d'espera de la sessió es produeixi després de la quantitat d'inactivitat predeterminada. És essencial per vigilar el comportament dels usuaris i implementar les normes de seguretat. |
Optimització de tancament de sessió únic amb la gestió del temps d'espera de la sessió SAML 2.0
Utilitzant Node.js i Express, l'script de fons per gestionar la tancament de sessió únic (SLO) se centra en la capacitat de fer un seguiment de la caducitat de la sessió de l'usuari i iniciar una seqüència de tancament de sessió als nivells de proveïdor de serveis (SP) i proveïdor d'identitat (IDP). La gestió de les sessions Express és el centre d'aquest raonament. Establim un punt d'activació configurant la sessió perquè finalitzi després d'una quantitat predeterminada d'inactivitat: deu minuts, en el nostre exemple. Quan finalitza la sessió, l'script utilitza el mètode `create_logout_request_url()} per iniciar una sol·licitud de tancament de sessió de SAML 2.0, que després es connecta a l'IDP (en aquest cas, Microsoft Entra) per finalitzar completament la sessió de l'usuari. Això millora la seguretat garantint que l'usuari ha tancat la sessió completament del sistema.
Ens carreguem Certificats SAML i les claus a l'aplicació mitjançant l'ordre `readFileSync()} per habilitar la comunicació segura entre el SP (MyApp) i l'IDP (Microsoft Entra). En autenticar la sol·licitud de tancament de sessió, aquests certificats protegeixen contra tancaments de sessió il·legals i garanteixen que la comunicació es mantingui xifrada i confirmada. L'usuari s'envia a l'URL de sol·licitud de tancament de sessió després d'haver-se generat, on l'IDP gestiona la sortida i, si és necessari, finalitza la sessió de l'usuari a qualsevol aplicació associada. Mantenir la seguretat i la integritat de les instal·lacions d'inici de sessió únic (SSO) multiaplicació requereix aquesta comunicació bidireccional.
L'script JavaScript és essencial per fer un seguiment de les activitats dels usuaris en temps real a la portada. Cada vegada que l'usuari interactua amb el programa, restablirem el temps d'espera de la sessió utilitzant escoltes d'esdeveniments com `onmousemove} i `onkeypress`. Un temporitzador que es va establir amb `setTimeout()` alerta l'usuari i el tanca automàticament de l'SP (MyApp) quan l'usuari es torna inactiu. Després de tancar la sessió, el procés de tancament de sessió de SAML 2.0 que s'ha cobert anteriorment s'inicia mitjançant l'script d'interfície enviant una sol·licitud SLO al backend mitjançant `fetch()`. Aquesta tècnica assegura que la inactivitat a nivell de SP s'aborda de manera ràpida, segura i sense fallar.
Quan la integració de SAML 2.0 i gestió de sessions es combinen, l'experiència de l'usuari és perfecta i es compleixen els estàndards de seguretat. Per tal d'evitar que l'usuari es mantingui autenticat durant més temps del que es permet durant la inactivitat, el temps d'espera de la sessió inicia tant el tancament de sessió del SP local com el de l'IDP. Tot i que SAML 2.0 no requereix cap conducta particular pel que fa als temps d'espera de la sessió, generalment s'accepta com a pràctica recomanada utilitzar la caducitat de la sessió per iniciar l'SLO. En finalitzar les sessions inactives, s'aconsegueix un equilibri entre la seguretat i l'experiència de l'usuari habilitant tancaments de sessió sincronitzats a diverses plataformes connectades amb SSO.
Ús de Node.js i Express per gestionar la tancació única de SAML 2.0 amb el temps d'espera de la sessió
Mètode de backend per gestionar SAML 2.0 SLO amb temps d'espera de sessió del proveïdor de serveis mitjançant Node.js i Express. Aquesta solució utilitza sol·licituds SAML per comprovar si la sessió ha caducat i iniciar SLO a nivell de proveïdor d'identitat.
// Required modules for Node.js and SAML SSOconst express = require('express');const session = require('express-session');const saml2 = require('saml2-js');const app = express();// Service Provider (SP) setupconst sp = new saml2.ServiceProvider({entity_id: "http://myapp.com/metadata.xml",private_key: fs.readFileSync("./cert/sp-private-key.pem").toString(),certificate: fs.readFileSync("./cert/sp-certificate.pem").toString(),assert_endpoint: "http://myapp.com/assert"});// Identity Provider (IDP) setupconst idp = new saml2.IdentityProvider({sso_login_url: "https://login.microsoftonline.com/sso",sso_logout_url: "https://login.microsoftonline.com/logout",certificates: fs.readFileSync("./cert/idp-certificate.pem").toString()});// Session managementapp.use(session({secret: 'mySecretKey',resave: false,saveUninitialized: true,cookie: { maxAge: 600000 } // Set session expiration time}));// Middleware to handle session timeout and SLOapp.use((req, res, next) => {if (req.session.expires && Date.now() > req.session.expires) {sp.create_logout_request_url(idp, {}, (err, logout_url) => {if (err) return res.status(500).send("Logout error");return res.redirect(logout_url); // Trigger SLO});} else {next(); // Continue if session is valid}});app.listen(3000, () => {console.log("Server running on port 3000");});
Ús de JavaScript Frontend i detecció de temps d'espera d'inactivitat per gestionar SAML 2.0 SLO
En un mètode d'interfície, es detecta un temps d'espera d'una sessió utilitzant JavaScript vainilla per controlar la inactivitat de l'usuari i iniciar la tancament de sessió únic (SLO). Això indica al proveïdor de serveis que emeti una sol·licitud SLO al proveïdor d'identitat.
// Define variables for session timeoutlet timeoutDuration = 600000; // 10 minuteslet timeoutTimer;// Reset the timer on any user interactionfunction resetTimer() {clearTimeout(timeoutTimer);timeoutTimer = setTimeout(triggerLogout, timeoutDuration);}// Trigger logout functionfunction triggerLogout() {alert("Session expired due to inactivity.");window.location.href = "/logout"; // Redirect to SP logout}// Monitor user actionswindow.onload = resetTimer;document.onmousemove = resetTimer;document.onkeypress = resetTimer;// SLO event triggered after logoutfunction sendSLORequest() {fetch('/api/slo', { method: 'POST' }).then(response => {if (response.ok) {console.log("SLO request sent to IDP");}}).catch(err => console.error("SLO request failed", err));}
Explorant SAML 2.0: tancament de sessió únic i temps d'espera d'inactivitat
Com s'adreça SAML 2.0 Single Log Out (SLO). inactivitat a nivell de proveïdor de serveis (SP) és un component crític per gestionar. Tot i que és obvi que una sessió manual a l'SP també hauria de provocar la sortida d'un proveïdor d'identitat (IDP), els temps d'espera de sessió provocats per la inactivitat compliquen les coses. L'estàndard SAML 2.0 no indica clarament com s'ha de gestionar l'SLO quan caduqui la sessió. Això, però, permet l'adopció de bones pràctiques que poden millorar l'experiència i la seguretat de l'usuari.
Per exemple, fins i tot després d'haver estat tancat de l'SP a causa de la inactivitat, els usuaris que inicien sessió en una aplicació com MyApp mitjançant Microsoft Entra (IDP) sovint es mantenen connectats a l'IDP. Si l'usuari creu que està completament tancat mentre que altres aplicacions que utilitzen el mateix SSO encara s'estan executant, això podria augmentar preocupacions de seguretat. Configurar la gestió de sessions SAML per imitar l'esdeveniment de temps d'espera del SP a nivell d'IDP i garantir tancaments de sessió sincronitzats és una manera de reduir aquest risc.
La implementació del codi frontal de tècniques de detecció inactiva és un altre factor. Els desenvolupadors poden anticipar els temps d'inactivitat i avisar els usuaris abans que caduqui la sessió mitjançant l'ús d'escoltes d'esdeveniments per a l'activitat dels usuaris. Mitjançant això, els usuaris poden mantenir el control de les seves sessions i assegurar-se que les seves Sessió SSO no funciona contínuament. En un entorn integrat amb SSO, els desenvolupadors poden preservar la seguretat i la comoditat de l'usuari aconseguint un equilibri entre aquests factors.
Preguntes habituals sobre SAML 2.0 SLO i temps d'espera de sessió
- Què passa a nivell de proveïdor de serveis quan una sessió s'espera?
- Normalment, l'usuari es tanca la sessió del programa quan s'espera una sessió al nivell de SP. Tanmateix, depèn de com estigui configurat el sistema, ja que l'especificació SAML 2.0 no requereix que això provoqui un SLO a l'IDP.
- S'hauria d'activar un SLO al proveïdor d'identitat per un temps d'espera de sessió del proveïdor de serveis?
- La política de l'organització ho regula. Tot i que SAML 2.0 no ho obliga, molts opten per activar l'SLO a l'IDP quan finalitzi la sessió SP per motius de seguretat.
- Quan acaba una sessió inactiva, com puc fer que el SLO passi?
- La caducitat de la sessió es pot detectar mitjançant un mecanisme de backend, que després inicia a create_logout_request_url() procediment per fer una sol·licitud SLO al IDP.
- Com es detecta la inactivitat de la sessió a la interfície?
- Els oients d'esdeveniments com as onmousemove i onkeypress s'utilitzen habitualment per fer un seguiment de la inactivitat, ja que restableixen un temporitzador cada vegada que un usuari interactua amb l'aplicació.
- Després de tancar la sessió del SP, és segur tenir oberta la sessió d'IDP?
- El fet de deixar oberta la sessió d'IDP pot sorgir un risc de seguretat, sobretot si l'usuari creu que s'ha comprovat completament. Es recomana configurar SLO per replicar la caducitat de la sessió SP.
Finalització de la gestió del temps d'espera de la sessió de SAML 2.0
Mantenir la seguretat en un sistema SSO requereix assegurar-se que el proveïdor d'identitat i el proveïdor de serveis sincronitzen els seus processos de tancament de sessió. Tot i que SAML 2.0 no imposa com s'han de gestionar els temps d'espera de les sessions, moltes empreses gestionen tancaments de sessió individuals de manera uniforme.
Es recomana enviar una sol·licitud de SLO cada vegada que finalitzi la sessió del proveïdor de serveis per inactivitat per tal de millorar la seguretat. Això garanteix que l'usuari hagi tancat la sessió del proveïdor d'identitat i de l'aplicació, evitant l'accés no desitjat a moltes plataformes.
Referències i fonts per a les bones pràctiques de SAML 2.0
- La documentació detallada sobre els estàndards i les directrius de SAML 2.0 i Single Log Out es pot trobar a l'oficial Especificació bàsica OASIS SAML 2.0 .
- Per obtenir informació sobre Microsoft Entra i la seva integració amb SSO i SLO, consulteu la documentació oficial de Microsoft a Azure Active Directory i SAML .
- La biblioteca SAML de Node.js que s'utilitza als exemples, juntament amb les tècniques de gestió de sessions, es pot explorar més a fons al Documentació de la biblioteca SAML2-js .
- Per entendre les millors pràctiques per configurar l'inici de sessió únic i la gestió de sessions, visiteu l'article sobre Bones pràctiques d'SSO per Auth0.