SAML 2.0 Najboljše prakse za enojno odjavo po nedejavnosti ponudnika storitev

SAML 2.0 Najboljše prakse za enojno odjavo po nedejavnosti ponudnika storitev
SAML 2.0 Najboljše prakse za enojno odjavo po nedejavnosti ponudnika storitev
Daniel Marino
Petek, 27. september 2024 22:56:22

Razumevanje SAML 2.0 Single Log Out After Session Timeout

Ker sistemi enotne prijave (SSO) SAML 2.0 uporabnikom omogočajo prijavo v različne aplikacije z enim nizom poverilnic, so precej poenostavili avtentikacijo uporabnikov. Obstajajo pa tudi pomembne težave s pojmom enotne odjave (SLO), zlasti glede tega, kaj se zgodi, ko uporabniku poteče seja pri ponudniku storitev (SP), ker se ni prijavil. V tem primeru bi moral ponudnik identitete (IDP) tudi konec seje?

Upravljanje sej med SP in IDP je bistveno za zagotavljanje varnega in učinkovitega dostopa v kontekstu SAML 2.0. Ni vedno očitno, kdaj se seja SP konča, ali mora biti uporabnik še vedno povezan z IDP, kar bi lahko vplivalo na druge aplikacije, ki so povezane z istim IDP. To postavlja vprašanja o uporabnosti in varnosti.

Mnoga podjetja, zlasti tista, ki uporabljajo vmesnike, kot je Microsoft Entra, morajo vzpostaviti jasno najboljšo prakso za ravnanje s temi časovnimi omejitvami sej. Ali je bolje, da se seja SP-ja preprosto ustavi na ravni SP-ja, ali bi to moralo povzročiti tudi SLO, ki uporabnika odjavi iz njegovega računa IDP?

Z uporabo primerov iz resničnega sveta za ponazoritev najučinkovitejših tehnik za ravnanje s časovnimi omejitvami sej in zagotavljanjem varnosti in uporabnosti ta dokument preučuje standardne prakse in standarde za ravnanje s dogodki SAML 2.0 SLO v takšnih situacijah.

Ukaz Primer uporabe
session() Uporablja se v aplikaciji Express za nadzor uporabniških sej. V primeru pomaga pri spremljanju dejavnosti uporabnika in časovnih omejitev seje, tako da se lahko po potrebi sproži logika odjave.
maxAge Podaja časovni okvir veljavnosti sejnega piškotka. V tem primeru je časovnik nastavljen tako, da poteče po 600000 milisekundah ali 10 minutah in sproži dogodek odjave.
create_logout_request_url() Ko se seja ponudnika storitev zaključi, se URL zahteve za enojno odjavo (SLO), ustvarjen s to metodo knjižnice SAML2, posreduje ponudniku identitete (IDP).
readFileSync() Sinhrono bere datoteke ključev in potrdila, kar je potrebno za nastavitev ponudnika storitev SAML2. Ti certifikati so potrebni, da lahko ponudnik storitev in ponudnik identitete varno komunicirata.
assert_endpoint Označuje URL, ki ga bo po uspešnem preverjanju pristnosti ponudnik identitete uporabil za prenos izjave SAML. S tem je zagotovljena raven avtentikacije uporabnika ponudnika storitev.
window.onload Ta dogodek se uporablja za ponastavitev časovnika nedejavnosti seje v sprednjem delu. Zagotavlja, da se časomer začne znova, ko uporabnik prvič naloži program.
onmousemove Za ponastavitev časovnika seje ta poslušalec dogodkov zazna vsako premikanje miške. Bistvenega pomena je za spremljanje vedenja uporabnikov in preprečevanje nenamernih časovnih omejitev seje.
fetch() Uporablja se za asinhrono pošiljanje zahteve SLO strežniku po časovni omejitvi seje. Za povezavo s ponudnikom identitete in odjavo uporabnika iz IDP sproži zaledno logiko.
setTimeout() Ta funkcija v kodi sprednjega dela povzroči, da se dogodek časovne omejitve seje pojavi po vnaprej določeni količini nedejavnosti. Bistvenega pomena je za spremljanje vedenja uporabnikov in izvajanje varnostnih predpisov.

Optimiziranje posamezne odjave z ravnanjem s časovno omejitvijo seje SAML 2.0

Uporaba Node.js in Express, zaledni skript za obravnavanje enotne odjave (SLO) se osredotoča na zmožnost sledenja poteku uporabniške seje in sprožitev zaporedja odjave na ravni ponudnika storitev (SP) in ponudnika identitete (IDP). Upravljanje hitrih sej je v središču tega razmišljanja. Sprožilno točko vzpostavimo tako, da nastavimo končanje seje po vnaprej določeni količini nedejavnosti – v našem primeru deset minut. Ko se seja konča, skript uporabi metodo `create_logout_request_url()} za zagon zahteve za odjavo SAML 2.0, ki se nato poveže z IDP (v tem primeru Microsoft Entra), da v celoti končate uporabniško sejo. To poveča varnost z zagotavljanjem, da se je uporabnik popolnoma odjavil iz sistema.

Naložimo SAML potrdila in vnese v aplikacijo z ukazom `readFileSync()}, da omogoči varno komunikacijo med SP (MyApp) in IDP (Microsoft Entra). Z avtentikacijo zahteve za odjavo ti certifikati ščitijo pred nezakonitimi odjavami in zagotavljajo, da komunikacija ostane šifrirana in potrjena. Uporabnik je poslan na URL zahteve za odjavo, potem ko je ta ustvarjen, kjer IDP obravnava odjavo in po potrebi konča uporabnikovo sejo v vseh povezanih aplikacijah. Ohranjanje varnosti in celovitosti namestitve enotne prijave (SSO) z več aplikacijami zahteva to dvosmerno komunikacijo.

Skript JavaScript je bistvenega pomena za sledenje dejavnosti uporabnikov v realnem času na sprednji strani. Vsakič, ko uporabnik komunicira s programom, ponastavimo časovno omejitev seje z uporabo poslušalcev dogodkov, kot sta `onmousemove} in `onkeypress`. Časovnik, ki je bil nastavljen z `setTimeout()`, opozori uporabnika in ga samodejno odjavi iz SP (MyApp), ko uporabnik postane nedejaven. Po odjavi se postopek odjave SAML 2.0, ki je bil prej zajet, zažene s skriptom sprednjega dela, ki pošlje zahtevo SLO v zaledje z uporabo `fetch()`. Ta tehnika zagotavlja, da se nedejavnost na ravni SP obravnava takoj, varno in brez napak.

Pri integraciji SAML 2.0 in upravljanje seje so združeni, uporabniška izkušnja je brezhibna in upoštevani so varnostni standardi. Da bi preprečili, da bi uporabnik med nedejavnostjo ostal overjen dlje, kot je dovoljeno, časovna omejitev seje sproži tako lokalno odjavo SP kot odjavo IDP. Čeprav SAML 2.0 ne zahteva nobenega posebnega ravnanja v zvezi s časovnimi omejitvami seje, je na splošno sprejeta kot najboljša praksa uporaba poteka seje za začetek SLO. S končanjem nedejavnih sej vzpostavi ravnotežje med varnostjo in uporabniško izkušnjo, tako da omogoči sinhronizirane odjave na različnih platformah, povezanih s SSO.

Uporaba Node.js in Express za obdelavo SAML 2.0 Single Log Out with Session Timeout

Zaledna metoda za upravljanje SAML 2.0 SLO s časovnimi omejitvami seje ponudnika storitev z uporabo Node.js in Express. Ta rešitev uporablja zahteve SAML za preverjanje, ali je seja potekla, in sproži SLO na ravni ponudnika identitete.

// Required modules for Node.js and SAML SSO
const express = require('express');
const session = require('express-session');
const saml2 = require('saml2-js');
const app = express();

// Service Provider (SP) setup
const sp = new saml2.ServiceProvider({
  entity_id: "http://myapp.com/metadata.xml",
  private_key: fs.readFileSync("./cert/sp-private-key.pem").toString(),
  certificate: fs.readFileSync("./cert/sp-certificate.pem").toString(),
  assert_endpoint: "http://myapp.com/assert"
});

// Identity Provider (IDP) setup
const idp = new saml2.IdentityProvider({
  sso_login_url: "https://login.microsoftonline.com/sso",
  sso_logout_url: "https://login.microsoftonline.com/logout",
  certificates: fs.readFileSync("./cert/idp-certificate.pem").toString()
});

// Session management
app.use(session({
  secret: 'mySecretKey',
  resave: false,
  saveUninitialized: true,
  cookie: { maxAge: 600000 } // Set session expiration time
}));

// Middleware to handle session timeout and SLO
app.use((req, res, next) => {
  if (req.session.expires && Date.now() > req.session.expires) {
    sp.create_logout_request_url(idp, {}, (err, logout_url) => {
      if (err) return res.status(500).send("Logout error");
      return res.redirect(logout_url); // Trigger SLO
    });
  } else {
    next(); // Continue if session is valid
  }
});

app.listen(3000, () => {
  console.log("Server running on port 3000");
});

Uporaba vmesnika JavaScript Frontend in zaznavanja časovne omejitve nedejavnosti za obravnavo SAML 2.0 SLO

Pri metodi čelnega vmesnika se časovna omejitev seje zazna z uporabo navadnega JavaScripta za spremljanje nedejavnosti uporabnika in sprožitev enotne odjave (SLO). To sporoči ponudniku storitev, naj izda zahtevo SLO ponudniku identitete.

// Define variables for session timeout
let timeoutDuration = 600000; // 10 minutes
let timeoutTimer;

// Reset the timer on any user interaction
function resetTimer() {
  clearTimeout(timeoutTimer);
  timeoutTimer = setTimeout(triggerLogout, timeoutDuration);
}

// Trigger logout function
function triggerLogout() {
  alert("Session expired due to inactivity.");
  window.location.href = "/logout"; // Redirect to SP logout
}

// Monitor user actions
window.onload = resetTimer;
document.onmousemove = resetTimer;
document.onkeypress = resetTimer;

// SLO event triggered after logout
function sendSLORequest() {
  fetch('/api/slo', { method: 'POST' })
    .then(response => {
      if (response.ok) {
        console.log("SLO request sent to IDP");
      }
    })
    .catch(err => console.error("SLO request failed", err));
}

Raziskovanje SAML 2.0: Enkratna odjava in časovna omejitev nedejavnosti

Kako obravnava SAML 2.0 Single Log Out (SLO). nedejavnost na ravni ponudnika storitev (SP) je kritična komponenta za upravljanje. Čeprav je očitno, da bi morala ročna odjava na SP povzročiti tudi odjavo ponudnika identitete (IDP), časovne omejitve seje, ki jih povzroči nedejavnost, zapletejo zadeve. Standard SAML 2.0 ne navaja jasno, kako naj se obravnava SLO ob poteku seje. Vendar pa to omogoča sprejetje najboljših praks, ki lahko izboljšajo uporabniško izkušnjo in varnost.

Na primer, uporabniki, ki se prijavijo v aplikacijo, kot je MyApp prek Microsoft Entra (IDP), pogosto ostanejo prijavljeni v IDP, tudi potem ko so zaradi nedejavnosti izključeni iz SP. Če uporabnik meni, da je popolnoma odjavljen, medtem ko druge aplikacije, ki uporabljajo isto enotno prijavo, še vedno delujejo, lahko to povzroči varnostni pomisleki. Nastavitev upravljanja sej SAML za posnemanje dogodka časovne omejitve SP na ravni IDP in zagotavljanje sinhroniziranih odjav je eden od načinov za zmanjšanje tega tveganja.

Drugi dejavnik je implementacija tehnik zaznavanja nedejavnosti kode frontend. Razvijalci lahko predvidijo čas nedejavnosti in opozorijo uporabnike pred potekom seje z uporabo poslušalcev dogodkov za dejavnost uporabnikov. Z uporabo tega lahko uporabniki obdržijo nadzor nad svojimi sejami in zagotovijo, da njihova SSO seja ne teče neprekinjeno. V okolju, integriranem s sistemom SSO, lahko razvijalci ohranijo varnost in udobje uporabnika z doseganjem ravnovesja med temi dejavniki.

Pogosta vprašanja o SAML 2.0 SLO in časovnih omejitvah seje

  1. Kaj se zgodi na ravni ponudnika storitev, ko poteče seja?
  2. Običajno je uporabnik odjavljen iz programa, ko poteče čas seje na ravni SP. Vendar je odvisno od tega, kako je sistem nastavljen, saj specifikacija SAML 2.0 ne zahteva, da to povzroči SLO pri IDP.
  3. Ali naj se SLO pri ponudniku identitete sproži s časovno omejitvijo seje ponudnika storitev?
  4. To ureja politika organizacije. Čeprav SAML 2.0 tega ne zahteva, se mnogi odločijo, da iz varnostnih razlogov sprožijo SLO pri IDP, ko se seja SP konča.
  5. Ko se neaktivna seja konča, kako lahko omogočim SLO?
  6. Potek seje je mogoče zaznati prek zalednega mehanizma, ki nato sproži a create_logout_request_url() postopek za vložitev SLO zahteve IDP.
  7. Kako se na sprednji strani zazna neaktivnost seje?
  8. Poslušalcem dogodkov je všeč as onmousemove in onkeypress se običajno uporabljajo za sledenje nedejavnosti, saj ponastavijo časovnik vsakič, ko uporabnik komunicira z aplikacijo.
  9. Ali je po odjavi iz SP varno imeti odprto sejo IDP?
  10. Varnostno tveganje lahko nastane, če pustite sejo IDP odprto, zlasti če uporabnik meni, da se je v celoti odjavil. Priporočljiva je nastavitev SLO za ponovitev poteka seje SP.

Zaključek upravljanja časovne omejitve seje SAML 2.0

Ohranjanje varnosti v sistemu SSO zahteva zagotovitev, da ponudnik identitete in ponudnik storitev sinhronizirata svoje postopke odjave. Čeprav SAML 2.0 ne predpisuje, kako je treba ravnati s časovnimi omejitvami sej, veliko podjetij obravnava posamezne odjave na enoten način.

Priporočljivo je, da pošljete zahtevo SLO vsakič, ko se seja ponudnika storitev konča zaradi nedejavnosti, da izboljšate varnost. To zagotavlja, da se je uporabnik odjavil tako iz ponudnika identitete kot tudi iz aplikacije, s čimer se izogne ​​neželenemu dostopu na številnih platformah.

Reference in viri za najboljše prakse SAML 2.0
  1. Podrobno dokumentacijo o standardih in smernicah SAML 2.0 in Single Log Out lahko najdete v uradnem Osnovna specifikacija OASIS SAML 2.0 .
  2. Za vpogled v Microsoft Entra in njeno integracijo s SSO in SLO glejte uradno Microsoftovo dokumentacijo na Azure Active Directory in SAML .
  3. Knjižnico SAML Node.js, uporabljeno v primerih, skupaj s tehnikami upravljanja sej lahko podrobneje raziščete na Dokumentacija knjižnice SAML2-js .
  4. Če želite razumeti najboljše prakse pri konfiguriranju enotne prijave in upravljanju sej, obiščite članek o Najboljše prakse SSO avtor Auth0.