我们正在使用Spring SAML扩展为我们的客户提供SSO支持。它与我们的开发环境IDP(okta)一起工作正常。但是,我们的一个客户端使用Tivoli作为IDP,我们遇到了一个问题,在一定时间后,用户将开始无法验证错误。
根据我们发现的研究,Tivoli正在设置SessionNotOnOrAfter属性
我们的SAML断言响应中<saml:AuthnStatement AuthnInstant="2015-09-14T20:14:14Z" SessionIndex="xxxx" SessionNotOnOrAfter="2015-09-14T21:14:14Z">。
我想知道我们作为SP有什么选择来处理这种情况。我们是否应该提示用户在遇到问题时重新进行身份验证,或者我们是否可以通过某种方式设置应用程序以便自动刷新会话。
由于 萨赫勒
答案 0 :(得分:0)
此SessionNotOnOrAfter属性将使Payload到期。 SP不应该永远收到相同的有效载荷如果是这样,中间人攻击会有很多机会。
SP应该实现KeepAlive功能来ping回IDP,说明扩展相同有效负载的会话。因此IDP可以使用当前数据和时间戳更新此属性。