Обновить сеанс в весенней безопасности SAML

Question

Мы используем расширение Spring SAML для обеспечения поддержки единого входа для наших клиентов. Он отлично работает с нашей средой разработки IDP (окта). Тем не менее, один из наших клиентов использует Tivoli в качестве IDP, и мы сталкиваемся с проблемой, когда через определенное время пользователь начнет получать возможность не аутентифицировать ошибку.

На основе исследований мы выяснили, что, Tivoli устанавливает SessionNotOnOrAfter атрибута для <saml:AuthnStatement AuthnInstant="2015-09-14T20:14:14Z" SessionIndex="xxxx" SessionNotOnOrAfter="2015-09-14T21:14:14Z"> в нашем ответ SAML утверждения.

Я хотел бы знать, какие параметры у нас есть как SP для обработки этого сценария. Должны ли мы побуждать пользователя к повторной аутентификации при каждом запуске проблемы или есть способ, по которому мы можем настроить наше приложение определенным образом, чтобы он мог автоматически обновлять сеанс.

Благодаря Сахил атрибут

Answer 1

Это SessionNotOnOrAfter будет Истечение Payload. SP не должен получать одну и ту же полезную нагрузку навсегда. Если так будет много шансов для атаки среднего человека.

SP должен внедрять функциональность KeepAlive для отсылки сообщения IDP, которое расширяет сеанс одной и той же полезной нагрузки. Таким образом, IDP может обновлять этот атрибут с текущими данными и отметкой времени.