Mejores prácticas de cierre de sesión único de SAML 2.0 después de la inactividad del proveedor de servicios

Mejores prácticas de cierre de sesión único de SAML 2.0 después de la inactividad del proveedor de servicios
Mejores prácticas de cierre de sesión único de SAML 2.0 después de la inactividad del proveedor de servicios
Daniel Marino
Viernes, 27 de septiembre de 2024, 21:24:53

Comprender el cierre de sesión único de SAML 2.0 después del tiempo de espera de la sesión

Debido a que los sistemas de inicio de sesión único (SSO) SAML 2.0 permiten a los usuarios iniciar sesión en varias aplicaciones utilizando un único conjunto de credenciales, han simplificado considerablemente la autenticación de usuarios. Pero también hay problemas importantes con la noción de cierre de sesión único (SLO), especialmente con respecto a lo que ocurre cuando la sesión de un usuario expira en un proveedor de servicios (SP) porque no ha iniciado sesión. En este caso, ¿debe el proveedor de identidad ¿La sesión (IDP) también finaliza?

La gestión de sesiones entre el SP y el IDP es esencial para garantizar un acceso seguro y eficiente en el contexto de SAML 2.0. No siempre es obvio cuándo finaliza una sesión de SP si el usuario aún debe estar conectado al IDP, lo que podría tener un impacto en otras aplicaciones que están vinculadas al mismo IDP. Esto plantea dudas sobre la usabilidad y la seguridad.

Muchas empresas deben establecer una práctica recomendada clara para gestionar estos tiempos de espera de sesión, especialmente aquellas que utilizan interfaces como Microsoft Entra. ¿Es mejor que la sesión de un SP se detenga simplemente en el nivel de SP, o también debería dar como resultado un SLO que cierre la sesión del usuario en su cuenta IDP?

Utilizando ejemplos del mundo real para ilustrar las técnicas más eficientes para manejar los tiempos de espera de las sesiones y garantizar tanto la seguridad como la usabilidad, este documento examina las prácticas y estándares estándar para manejar los eventos SLO de SAML 2.0 en tales situaciones.

Dominio Ejemplo de uso
session() Utilizado en la aplicación Express para controlar las sesiones de los usuarios. En el ejemplo, ayuda a monitorear la actividad del usuario y los tiempos de espera de las sesiones para que la lógica de cierre de sesión pueda activarse cuando sea necesario.
maxAge Especifica el período de tiempo en el que la cookie de sesión es válida. En este caso, el temporizador está configurado para que caduque después de 600.000 milisegundos, o 10 minutos, e inicie un evento de cierre de sesión.
create_logout_request_url() Cuando finaliza la sesión del proveedor de servicios, la URL de solicitud de cierre de sesión único (SLO) creada por este método de biblioteca SAML2 se reenvía al proveedor de identidad (IDP).
readFileSync() Lee los archivos clave y los certificados de forma sincrónica, lo cual es necesario para configurar el proveedor de servicios SAML2. Para que el Proveedor de Servicios y el Proveedor de Identidades se comuniquen de forma segura, estas certificaciones son necesarias.
assert_endpoint Indica la URL que, tras una autenticación exitosa, el proveedor de identidad utilizará para transmitir la aserción SAML. Al hacer esto, se garantiza el nivel de autenticación de usuario del proveedor de servicios.
window.onload Este evento se utiliza para restablecer el temporizador de inactividad de la sesión en la interfaz. Se asegura de que cuando el usuario carga el programa por primera vez, el cronómetro comience de nuevo.
onmousemove Para restablecer el temporizador de la sesión, este detector de eventos detecta cualquier movimiento del mouse. Es esencial para vigilar el comportamiento del usuario y evitar tiempos de espera accidentales en las sesiones.
fetch() Se utiliza para enviar de forma asincrónica una solicitud de SLO, después del tiempo de espera de la sesión, al servidor. Para conectarse con el proveedor de identidad y cerrar la sesión del usuario en el IDP, se activa la lógica del backend.
setTimeout() Esta función en el código de interfaz hace que el evento de tiempo de espera de la sesión ocurra después de una cantidad predeterminada de inactividad. Es fundamental vigilar el comportamiento de los usuarios e implementar normas de seguridad.

Optimización del cierre de sesión único con el manejo del tiempo de espera de sesión de SAML 2.0

Usando Nodo.js y Express, el script de backend para manejar el cierre de sesión único (SLO) se centra en la capacidad de rastrear el vencimiento de la sesión del usuario e iniciar una secuencia de cierre de sesión en los niveles de proveedor de servicios (SP) y proveedor de identidad (IDP). La gestión de las sesiones Express está en el centro de este razonamiento. Establecemos un punto de activación configurando la sesión para que finalice después de una cantidad predeterminada de inactividad (diez minutos, en nuestro ejemplo). Cuando finaliza la sesión, el script utiliza el método `create_logout_request_url()} para iniciar una solicitud de cierre de sesión SAML 2.0, que luego se conecta al IDP (en este caso, MicrosoftEntra) para finalizar la sesión del usuario por completo. Esto mejora la seguridad al garantizar que el usuario ha cerrado sesión completamente en el sistema.

cargamos Certificados SAML e ingresa a la aplicación usando el comando `readFileSync()} para habilitar la comunicación segura entre el SP (MyApp) y el IDP (Microsoft Entra). Al autenticar la solicitud de cierre de sesión, estos certificados protegen contra cierres de sesión ilegales y garantizan que la comunicación permanezca cifrada y confirmada. El usuario es enviado a la URL de solicitud de cierre de sesión una vez generada, donde el IDP maneja el cierre de sesión y, si es necesario, finaliza la sesión del usuario en todas las aplicaciones asociadas. Mantener la seguridad y la integridad de las instalaciones de inicio de sesión único (SSO) de múltiples aplicaciones requiere esta comunicación bidireccional.

El script JavaScript es esencial para rastrear las actividades de los usuarios en tiempo real en el front-end. Cada vez que el usuario interactúa con el programa, restablecemos el tiempo de espera de la sesión utilizando detectores de eventos como `onmousemove} y `onkeypress`. Un temporizador que se configuró con `setTimeout()` alerta al usuario y lo desconecta automáticamente del SP (MyApp) cuando el usuario queda inactivo. Después del cierre de sesión, el proceso de cierre de sesión de SAML 2.0 cubierto anteriormente se inicia mediante el script del frontend que envía una solicitud de SLO al backend usando `fetch()`. Esta técnica garantiza que la inactividad a nivel de SP se aborde de manera rápida, segura y sin fallas.

Cuando la integración SAML 2.0 y gestión de sesiones se combinan, la experiencia del usuario es perfecta y se mantienen los estándares de seguridad. Para evitar que el usuario permanezca autenticado por más tiempo del permitido durante la inactividad, el tiempo de espera de la sesión inicia tanto el cierre de sesión del SP local como el cierre de sesión del IDP. Aunque SAML 2.0 no requiere ninguna conducta particular con respecto a los tiempos de espera de las sesiones, generalmente se acepta como práctica recomendada utilizar la caducidad de las sesiones para iniciar el SLO. Al finalizar las sesiones inactivas, logra un equilibrio entre la seguridad y la experiencia del usuario al permitir cierres de sesión sincronizados en varias plataformas conectadas a SSO.

Uso de Node.js y Express para manejar el cierre de sesión único de SAML 2.0 con tiempo de espera de sesión

Método de backend para administrar SAML 2.0 SLO con tiempos de espera de sesión del proveedor de servicios utilizando Node.js y Express. Esta solución utiliza solicitudes SAML para comprobar si la sesión ha caducado e iniciar SLO en el nivel del proveedor de identidad.

// Required modules for Node.js and SAML SSO
const express = require('express');
const session = require('express-session');
const saml2 = require('saml2-js');
const app = express();

// Service Provider (SP) setup
const sp = new saml2.ServiceProvider({
  entity_id: "http://myapp.com/metadata.xml",
  private_key: fs.readFileSync("./cert/sp-private-key.pem").toString(),
  certificate: fs.readFileSync("./cert/sp-certificate.pem").toString(),
  assert_endpoint: "http://myapp.com/assert"
});

// Identity Provider (IDP) setup
const idp = new saml2.IdentityProvider({
  sso_login_url: "https://login.microsoftonline.com/sso",
  sso_logout_url: "https://login.microsoftonline.com/logout",
  certificates: fs.readFileSync("./cert/idp-certificate.pem").toString()
});

// Session management
app.use(session({
  secret: 'mySecretKey',
  resave: false,
  saveUninitialized: true,
  cookie: { maxAge: 600000 } // Set session expiration time
}));

// Middleware to handle session timeout and SLO
app.use((req, res, next) => {
  if (req.session.expires && Date.now() > req.session.expires) {
    sp.create_logout_request_url(idp, {}, (err, logout_url) => {
      if (err) return res.status(500).send("Logout error");
      return res.redirect(logout_url); // Trigger SLO
    });
  } else {
    next(); // Continue if session is valid
  }
});

app.listen(3000, () => {
  console.log("Server running on port 3000");
});

Uso de la interfaz de JavaScript y la detección de tiempo de espera de inactividad para manejar SAML 2.0 SLO

En un método de interfaz, se detecta un tiempo de espera de sesión utilizando JavaScript básico para monitorear la inactividad del usuario e iniciar el cierre de sesión único (SLO). Esto le indica al proveedor de servicios que emita una solicitud de SLO al proveedor de identidades.

// Define variables for session timeout
let timeoutDuration = 600000; // 10 minutes
let timeoutTimer;

// Reset the timer on any user interaction
function resetTimer() {
  clearTimeout(timeoutTimer);
  timeoutTimer = setTimeout(triggerLogout, timeoutDuration);
}

// Trigger logout function
function triggerLogout() {
  alert("Session expired due to inactivity.");
  window.location.href = "/logout"; // Redirect to SP logout
}

// Monitor user actions
window.onload = resetTimer;
document.onmousemove = resetTimer;
document.onkeypress = resetTimer;

// SLO event triggered after logout
function sendSLORequest() {
  fetch('/api/slo', { method: 'POST' })
    .then(response => {
      if (response.ok) {
        console.log("SLO request sent to IDP");
      }
    })
    .catch(err => console.error("SLO request failed", err));
}

Explorando SAML 2.0: cierre de sesión único y tiempo de espera de inactividad

Cómo aborda SAML 2.0 el cierre de sesión único (SLO) inactividad a nivel de Proveedor de Servicios (SP) es un componente crítico de gestionar. Aunque es obvio que un cierre de sesión manual en el SP debería provocar también un cierre de sesión del Proveedor de identidad (IDP), los tiempos de espera de sesión provocados por la inactividad complican las cosas. El estándar SAML 2.0 no establece claramente cómo se debe manejar el SLO al vencimiento de la sesión. Sin embargo, esto permite la adopción de mejores prácticas que pueden mejorar la experiencia y la seguridad del usuario.

Por ejemplo, incluso después de haber sido excluidos del SP debido a inactividad, los usuarios que inician sesión en una aplicación como MyApp a través de Microsoft Entra (IDP) con frecuencia permanecen conectados al IDP. Si el usuario cree que ha cerrado sesión por completo mientras otras aplicaciones que utilizan el mismo SSO todavía se están ejecutando, esto podría generar problemas. preocupaciones de seguridad. Configurar la gestión de sesiones SAML para imitar el evento de tiempo de espera del SP a nivel de IDP y garantizar cierres de sesión sincronizados es una forma de reducir este riesgo.

La implementación del código frontend de técnicas de detección inactiva es otro factor. Los desarrolladores pueden anticipar tiempos de inactividad y alertar a los usuarios antes de que expire la sesión mediante el uso de detectores de eventos para la actividad del usuario. Al usar esto, los usuarios pueden mantener el control sobre sus sesiones y asegurarse de que sus sesión SSO no corre continuamente. En un entorno integrado con SSO, los desarrolladores pueden preservar la seguridad y la comodidad del usuario logrando un equilibrio entre estos factores.

Preguntas comunes sobre SAML 2.0 SLO y tiempos de espera de sesión

  1. ¿Qué ocurre a nivel de proveedor de servicios cuando se agota el tiempo de espera de una sesión?
  2. Por lo general, el usuario cierra la sesión del programa cuando se agota el tiempo de espera de una sesión en el nivel de SP. Sin embargo, depende de cómo esté configurado el sistema, ya que la especificación SAML 2.0 no requiere que esto cause un SLO en el IDP.
  3. ¿Debería activarse un SLO en el proveedor de identidad por un tiempo de espera de sesión del proveedor de servicios?
  4. La política de la organización rige esto. Aunque SAML 2.0 no lo exige, muchos optan por activar SLO en el IDP cuando finaliza la sesión del SP por razones de seguridad.
  5. Cuando finaliza una sesión inactiva, ¿cómo puedo hacer que se realice SLO?
  6. La caducidad de la sesión se puede detectar a través de un mecanismo de backend, que luego inicia una create_logout_request_url() procedimiento para realizar una solicitud de SLO al desplazado interno.
  7. ¿Cómo se detecta la inactividad de la sesión en el frontend?
  8. A los oyentes de eventos les gusta como onmousemove y onkeypress se utilizan comúnmente para rastrear la inactividad, ya que restablecen un temporizador cada vez que un usuario interactúa con la aplicación.
  9. Después de cerrar sesión en el SP, ¿es seguro tener abierta la sesión IDP?
  10. Puede surgir un riesgo de seguridad al dejar abierta la sesión de IDP, especialmente si el usuario cree que se ha desconectado por completo. Se recomienda configurar SLO para replicar la caducidad de la sesión del SP.

Conclusión de la gestión del tiempo de espera de sesión de SAML 2.0

Mantener la seguridad en un sistema SSO requiere asegurarse de que el proveedor de identidad y el proveedor de servicios sincronicen sus procesos de cierre de sesión. Aunque SAML 2.0 no exige cómo se deben manejar los tiempos de espera de las sesiones, muchas empresas manejan los cierres de sesión únicos de manera uniforme.

Se recomienda enviar una solicitud de SLO cada vez que finalice la sesión del Proveedor de servicios debido a inactividad para mejorar la seguridad. Esto garantiza que el usuario haya cerrado sesión en el proveedor de identidad y en la aplicación, evitando el acceso no deseado en muchas plataformas.

Referencias y fuentes de mejores prácticas de SAML 2.0
  1. La documentación detallada sobre SAML 2.0 y los estándares y pautas de cierre de sesión único se puede encontrar en el sitio oficial. Especificación principal de OASIS SAML 2.0 .
  2. Para obtener información sobre Microsoft Entra y su integración con SSO y SLO, consulte la documentación oficial de Microsoft en Azure Active Directory y SAML .
  3. La biblioteca SAML de Node.js utilizada en los ejemplos, junto con las técnicas de gestión de sesiones, se pueden explorar más a fondo en el Documentación de la biblioteca SAML2-js .
  4. Para comprender las mejores prácticas en la configuración del inicio de sesión único y la administración de sesiones, visite el artículo sobre Mejores prácticas de SSO por Auth0.