IDP initiierter SAML-Anmeldefehler - Die Authentifizierungsanweisung ist zu alt, um mit dem Wert verwendet zu werden

8

Wir verwenden ADFS als IDP und unsere Anwendung fungiert als SP. Unten ist eine Beispiel-Auth-Antwort

%Vor%

Das Problem, dem ich gegenüberstehe, kann in zwei Szenarien eingeteilt werden:

  1. Nach einer Stunde Leerlaufzeit melde ich den Benutzer lokal ab. Der Ablauf der Serversitzung ist ein Standardwert von 30 Minuten. Ich habe meinen Code, um alle 10 Minuten Ping zu senden, wenn der Benutzer aktiv an etwas arbeitet. Nun, das Problem ist, dass, wenn der Benutzer versucht, sich nach dem Ablauf der Sitzung von 1 Stunde anzumelden, ich die folgende Ausnahme

    bekomme %Vor%

Die Frage hier ist ... Warum würde unsere Anwendung versuchen, die Instanz zu validieren, als der Token ausgegeben wurde? Es könnte jederzeit gewährt werden.

  1. Ich bekomme immer SAMLException mit der Nachricht "Lokale Entität ist nicht die beabsichtigte Zielgruppe der Behauptung in mindestens einer AudienceRestriction". Die Spur ist wie folgt

    %Vor%

Ich verstehe nicht, warum diese Ausnahme auftritt.

Bitte helfen Sie mir, das Konzept zu verstehen.

Danke!

    
rakpan 29.05.2015, 11:38
quelle

2 Antworten

19

Ihr IDP verwendet Informationen, die der Benutzer zuvor authentifiziert hat (zum Zeitpunkt Authentication Instant), und Spring SAML ist standardmäßig so konfiguriert, dass Benutzer sich nicht anmelden können, wenn sie vor mehr als 7200 Sekunden authentifiziert wurden.

Es ist eine Sicherheitsmaßnahme - wenn der Computer vor langer Zeit den Benutzer authentifiziert hat, ist es schwer zu garantieren, dass es immer noch dieselbe Person ist, die den Computer bedient. Spring SAML bietet Ihnen einige Möglichkeiten, um zu konfigurieren, welche Sicherheitsstufe akzeptabel ist - zum Beispiel, indem Sie dies konfigurierbar machen.

Sie können diesen Wert erhöhen, indem Sie die Eigenschaft maxAuthenticationAge für die WebSSOProfileConsumerImpl -Bohne festlegen.

Der Zielgruppenfehler sollte nur dann auftreten, wenn die Assertion Audience-Elemente enthält und keines der Elemente mit der Entitäts-ID Ihrer Anwendung übereinstimmt. Ich glaube nicht, dass die Antwort in Ihrer Frage diejenige ist, die diesen Fehler auslöst?

    
Vladimír Schäfer 30.05.2015, 07:34
quelle
2

Nur ein Hinweis zu diesem Thema: Google hat bestätigt, dass das forceAuthN-Flag für SAML-Weiterleitungen derzeit nicht berücksichtigt wird. Probleme mit dem Authentifizierungs-Timeout auf dem SAML-Token werden angezeigt. Dokumentiert hier: Google Apps SSO als IdP in den Frühling SAML2 - Timeout für Authentifizierungstoken

    
Ed Newman 21.01.2017 20:42
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Butterknife @InjectView Problem nach Aktualisierung auf 7