Project

General

Profile

Scénario #15743

Forcer la page de redirection sso en cas de timeout

Added by Emmanuel Bacos over 3 years ago. Updated about 2 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
-
Category:
Version mineure
Start date:
04/25/2016
Due date:
09/08/2017
% Done:

100%

Estimated time:
(Total: 5.00 h)
Spent time:
(Total: 9.00 h)
Story points:
3.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Dans le cadre d'une fédération d'identité entre des scribes 2.3 et un serveur seshat 2.3 je n'arrive pas à forcer la page de logout/timeout sur le scribe. Notre fournisseur d'identité est le seshat et j'utilise le directives suivantes dans le fichier du scribe /usr/share/esso/attribute_sets/associations.ini:

[urn:fi:ac­orleans-tours:et­seshat.ac­orleans-tours.fr:1.0]
allow_idp = true
default_logout_url = https://envole-indre.ac-orleans-tours.fr/
rne = 0451278V
force_logout_url = true

Malheureusement la déconnexion consécutive au timeout me redirige vers la page d'authentification du scribe au lieu de celle indiquée dans "default_logout_url".


Subtasks

Tâche #15978: Implémentation de la solution retenueFerméBruno Boiget

Tâche #15979: Mise à jour de la documentation d'EoleSSOFerméBruno Boiget


Related issues

Related to EoleSSO - Tâche #15977: redirection sso et timeout: étudier la faisabilité et la pertinence des solutions proposées Fermé 04/25/2016

History

#1 Updated by Scrum Master over 3 years ago

  • Assigned To set to Bruno Boiget

#2 Updated by Bruno Boiget over 3 years ago

  • Tracker changed from Demande to Proposition Scénario
  • Project changed from Scribe to EoleSSO

A ce jour, le fonctionnement est le suivant :

Dans le cas d'une déconnexion volontaire (depuis le bouton de déconnexion d'une application, d'un portail établissement, ou depuis La page de déconnexion d'EoleSSO), la session utilisateur est encore connue côté EoleSSO, ce qui permet de repérer que la session a été ouverte par fédération, et de rediriger vers le fournisseur d'identité (Seshat) en fin de déconnexion.

En cas d'expiration de la session :

  • Suppression de toutes les informations sur la session en cours de l'utilisateur après le délai défini dans gen_config
  • Lorsque celui-ci fait à nouveau appel à EoleSSO pour obtenir un ticket d'application (session d'application expirée ou accès à une nouvelle application), EoleSSO ne reconnait pas la session décrite dans le Cookie et demande alors à l'utilisateur de s'authentifier localement (sur Scribe). Dans ce cas il ne sait pas si l'utilisateur a été authentifié par fédération ou non lors de sa connexion précédente.

Pour répondre à la problématique, diverses solutions sont envisageables :

  • Ajouter un paramètre sur Scribe pour forcer systématiquement une authentification par Seshat (plus simple, mais dans ce cas l'authentification locale ne serait plus disponible);
  • A l'expiration de session, conserver pendant un certain temps (un jour / X fois la durée de session ?) une indication permettant de retrouver la source d'authentification de la session expirée;
  • En cas de connexion par fédération, stocker dans le navigateur (cookie de session existant ou cookie spécifique) la référence de l'entité ayant authentifié l'utilisateur.

#3 Updated by Emmanuel Bacos over 3 years ago

Si je comprends bien en cas de timeout la redirection ne pointera que vers l'entité d'authentifcation soit seshat dans notre cas. Le problème c'est la double fédération FIM/Seshat et Seshat/scribe et idéalement nous voudrions revenir sur le point d'entrée initial. N'est-il donc pas possible de rediriger vers une URL quelconque ? Celle du portail qu'utilise l'utilisateur ?

#4 Updated by Emmanuel Bacos about 3 years ago

Je n'ai pas eu de réponse à ma dernière remarque. Où en est cette demande ? La version 2.3 sera-t-elle prise en compte ? Merci

#5 Updated by Bruno Boiget about 3 years ago

Je n'avais pas vu la dernière remarque. Je dois réétudier ce scénario cette semaine je vais voir ce qu'on peut proposer pour ce problème.

Pour ce qui est de la 2.3, il n'y a plus de mise à jour / évolution sur celle-ci. Si vous ne voulez pas migrer dans l'immédiat, la seule solution sera de reporter vous même la correction proposée sur la version 2.3.

#6 Updated by Bruno Boiget about 3 years ago

La solution suivante me semble la plus simple et suffisante :

  • au moment de la création de session en cas de fédération (EoleSSO fournisseur de service) : mettre en place un second cookie indiquant le fournisseur d'identité, avec une durée de validité de 2 jours par exemple.
  • en cas de création de session locale (connexion sur scribe sans fédération) : supprimer ce cookie si il est présent
  • Lorsque le client est redirigé sur EoleSSO suite à une expiration de session : vérifier la présence de ce cookie pour connaître le dernier fournisseur d'identité, et rediriger sur l'url spécifiée dans associations.ini pour celui-ci.

#7 Updated by Scrum Master almost 3 years ago

  • Tracker changed from Proposition Scénario to Scénario
  • Start date deleted (04/25/2016)
  • Release set to EOLE 2.6.1
  • Story points set to 2.0

#8 Updated by Scrum Master almost 3 years ago

  • Description updated (diff)
  • Assigned To deleted (Bruno Boiget)
  • Story points changed from 2.0 to 3.0

#9 Updated by Scrum Master over 2 years ago

  • Due date set to 04/14/2017
  • Target version set to sprint 2017 13-15 Equipe MENSR
  • Start date set to 03/27/2017

#10 Updated by Joël Cuissinat over 2 years ago

  • Target version changed from sprint 2017 13-15 Equipe MENSR to sprint 2017 13-15 Dév

#11 Updated by Luc Bourdot over 2 years ago

  • Due date deleted (04/14/2017)
  • Target version deleted (sprint 2017 13-15 Dév)
  • Start date deleted (04/25/2016)
  • Release changed from EOLE 2.6.1 to EOLE 2.6.1.1

#12 Updated by Bruno Boiget about 2 years ago

  • Due date set to 09/08/2017
  • Category set to Version mineure
  • Target version set to sprint 2017 34-36 Equipe MENSR
  • Start date set to 08/21/2017

#13 Updated by Bruno Boiget about 2 years ago

  • Blocked by deleted (Tâche #20033: Valider les dernières modifications apportées à la version haute dispo de EoleSSO)

#14 Updated by Joël Cuissinat about 2 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF