Scénario #15743
Forcer la page de redirection sso en cas de timeout
100%
Description
Dans le cadre d'une fédération d'identité entre des scribes 2.3 et un serveur seshat 2.3 je n'arrive pas à forcer la page de logout/timeout sur le scribe. Notre fournisseur d'identité est le seshat et j'utilise le directives suivantes dans le fichier du scribe /usr/share/esso/attribute_sets/associations.ini:
[urn:fi:acorleans-tours:etseshat.acorleans-tours.fr:1.0] allow_idp = true default_logout_url = https://envole-indre.ac-orleans-tours.fr/ rne = 0451278V force_logout_url = true
Malheureusement la déconnexion consécutive au timeout me redirige vers la page d'authentification du scribe au lieu de celle indiquée dans "default_logout_url".
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Scrum Master il y a environ 8 ans
- Assigné à mis à Bruno Boiget
#2 Mis à jour par Bruno Boiget il y a presque 8 ans
- Tracker changé de Demande à Proposition Scénario
- Projet changé de Scribe à EoleSSO
A ce jour, le fonctionnement est le suivant :
Dans le cas d'une déconnexion volontaire (depuis le bouton de déconnexion d'une application, d'un portail établissement, ou depuis La page de déconnexion d'EoleSSO), la session utilisateur est encore connue côté EoleSSO, ce qui permet de repérer que la session a été ouverte par fédération, et de rediriger vers le fournisseur d'identité (Seshat) en fin de déconnexion.
En cas d'expiration de la session :
- Suppression de toutes les informations sur la session en cours de l'utilisateur après le délai défini dans gen_config
- Lorsque celui-ci fait à nouveau appel à EoleSSO pour obtenir un ticket d'application (session d'application expirée ou accès à une nouvelle application), EoleSSO ne reconnait pas la session décrite dans le Cookie et demande alors à l'utilisateur de s'authentifier localement (sur Scribe). Dans ce cas il ne sait pas si l'utilisateur a été authentifié par fédération ou non lors de sa connexion précédente.
Pour répondre à la problématique, diverses solutions sont envisageables :
- Ajouter un paramètre sur Scribe pour forcer systématiquement une authentification par Seshat (plus simple, mais dans ce cas l'authentification locale ne serait plus disponible);
- A l'expiration de session, conserver pendant un certain temps (un jour / X fois la durée de session ?) une indication permettant de retrouver la source d'authentification de la session expirée;
- En cas de connexion par fédération, stocker dans le navigateur (cookie de session existant ou cookie spécifique) la référence de l'entité ayant authentifié l'utilisateur.
#3 Mis à jour par Emmanuel Bacos il y a presque 8 ans
Si je comprends bien en cas de timeout la redirection ne pointera que vers l'entité d'authentifcation soit seshat dans notre cas. Le problème c'est la double fédération FIM/Seshat et Seshat/scribe et idéalement nous voudrions revenir sur le point d'entrée initial. N'est-il donc pas possible de rediriger vers une URL quelconque ? Celle du portail qu'utilise l'utilisateur ?
#4 Mis à jour par Emmanuel Bacos il y a plus de 7 ans
Je n'ai pas eu de réponse à ma dernière remarque. Où en est cette demande ? La version 2.3 sera-t-elle prise en compte ? Merci
#5 Mis à jour par Bruno Boiget il y a plus de 7 ans
Je n'avais pas vu la dernière remarque. Je dois réétudier ce scénario cette semaine je vais voir ce qu'on peut proposer pour ce problème.
Pour ce qui est de la 2.3, il n'y a plus de mise à jour / évolution sur celle-ci. Si vous ne voulez pas migrer dans l'immédiat, la seule solution sera de reporter vous même la correction proposée sur la version 2.3.
#6 Mis à jour par Bruno Boiget il y a plus de 7 ans
La solution suivante me semble la plus simple et suffisante :
- au moment de la création de session en cas de fédération (EoleSSO fournisseur de service) : mettre en place un second cookie indiquant le fournisseur d'identité, avec une durée de validité de 2 jours par exemple.
- en cas de création de session locale (connexion sur scribe sans fédération) : supprimer ce cookie si il est présent
- Lorsque le client est redirigé sur EoleSSO suite à une expiration de session : vérifier la présence de ce cookie pour connaître le dernier fournisseur d'identité, et rediriger sur l'url spécifiée dans associations.ini pour celui-ci.
#7 Mis à jour par Scrum Master il y a plus de 7 ans
- Tracker changé de Proposition Scénario à Scénario
- Début
25/04/2016supprimé - Release mis à EOLE 2.6.1
- Points de scénarios mis à 2.0
#8 Mis à jour par Scrum Master il y a plus de 7 ans
- Description mis à jour (diff)
- Assigné à
Bruno Boigetsupprimé - Points de scénarios changé de 2.0 à 3.0
#9 Mis à jour par Scrum Master il y a environ 7 ans
- Echéance mis à 14/04/2017
- Version cible mis à sprint 2017 13-15 Equipe MENSR
- Début mis à 27/03/2017
#10 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Version cible changé de sprint 2017 13-15 Equipe MENSR à sprint 2017 13-15 Dév
#11 Mis à jour par Luc Bourdot il y a environ 7 ans
- Echéance
14/04/2017supprimé - Version cible
sprint 2017 13-15 Dévsupprimé - Début
25/04/2016supprimé - Release changé de EOLE 2.6.1 à EOLE 2.6.1.1
#12 Mis à jour par Bruno Boiget il y a plus de 6 ans
- Echéance mis à 08/09/2017
- Catégorie mis à Version mineure
- Version cible mis à sprint 2017 34-36 Equipe MENSR
- Début mis à 21/08/2017
#13 Mis à jour par Bruno Boiget il y a plus de 6 ans
- Bloqué par Tâche #20033: Valider les dernières modifications apportées à la version haute dispo de EoleSSO supprimé
#14 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- Statut changé de Nouveau à Terminé (Sprint)