关键词:
【中文标题】SAML 重新验证用户会话【英文标题】:SAML revalidate user session 【发布时间】:2016-06-14 13:04:10 【问题描述】:我们正在使用 spring-security 和 PingOne 作为 IdP 来实施 SAML。 我们有一个问题,当用户使用 SSO 登录应用程序,然后在 IdP 上被禁用/删除时,他的会话不会终止,因此他可以继续使用该应用程序。 我已经覆盖了 SAMLAuthenticationProvider 身份验证方法,因此我在 ExpiringUsernameAuthenticationToken 上设置了到期日期(类似于 IdP 在断言中为我们提供 SessionNotOnOrAfter 值),但问题是用户只是从应用程序中注销,而不是重新进行身份验证。
有什么方法可以检查用户在 IdP 端是否仍然有活动会话,并且只有在他的 IdP 会话无效时才将他注销?
【问题讨论】:
SAML2 包含一个单一的注销机制,可用于协调 IDP 和 SP 上的会话生命周期,但我不知道 PingOne 或 spring-security 是否支持它。 @AndersAbel 据我了解,单点注销从 SP 端工作,当用户启动 SL 时,它会将您从 IdP 和 SP 中注销。 可以从 SP 和 IDP 发起单次注销。 谢谢,但我不确定如何从 IdP 端启动单点注销,显然当用户被禁用时它不会启动。 【参考方案1】:对于这种情况,SAML 提供了 AuthnRequest 的“IsPassive”属性。如果设置为“true”,则可用于检查用户是否仍与 IdP 有有效会话。那些“被动”的 AuthnRequest 可以定期触发(例如应用程序端会话超时)。
【讨论】:
如果 Spring Security SAML 扩展能够提供这个 OOTB,那就太棒了。我认为目前情况并非如此。如何强制 spring-saml-extension 每次都重新进行身份验证?
】如何强制spring-saml-extension每次都重新进行身份验证?【英文标题】:HowcanIforcespring-saml-extensiontore-authenticateeverytime?【发布时间】:2015-03-0521:30:12【问题描述】:我最近成功运行了使用ADFS2.0的spring-saml-sample。但是我注意到,ADFS... 查看详情
SAML 身份验证的用户不会出现在 Spring Security 的 SessionRegistry 中
】SAML身份验证的用户不会出现在SpringSecurity的SessionRegistry中【英文标题】:SAMLauthenticatedusersdon\'tappearinSpringSecurity\'sSessionRegistry【发布时间】:2015-04-2022:55:48【问题描述】:我们的应用程序过去只有一种登录方式:用户名和密码... 查看详情
要求使用相同的 IDP 重新进行身份验证 - Spring SAML
】要求使用相同的IDP重新进行身份验证-SpringSAML【英文标题】:askedtoreauthenticatewiththesameIDP-SpringSAML【发布时间】:2015-03-0410:01:54【问题描述】:@vschafer我有一个场景,我的应用程序充当服务提供者之一。我的应用程序也与另一个... 查看详情
Spring Security SAML 中的刷新会话
...,我们遇到了一个问题,在一定时间后,用户将开始无法验证错误。根据我们发现的研究,T 查看详情
Spring session 与 spring security saml 的集成
...6-12-0322:43:30【问题描述】:我想使用openAm对用户进行身份验证并共享会话以与其他微服务进行通信,而无需再次对用户进行身份验证。会话详细信息存储在外部数据库中。我正在使用带有所有java配置的springsecurity 查看详情
cve-2022-23131——绕过samlsso身份验证(代码片段)
...允许身份提供者(IdP,一个能够对用户进行身份验证的实体)告诉服务提供者(SP,这里是Zabbix)你是谁。您可以将ZabbixWeb前端配置为允许通过SAML进行用户身份验证,但默认情况下不启用它,因为... 查看详情
一分钟后 Spring SAML 访问被拒绝
...。用户登录并可以使用应用程序,但一分钟后他得到401并重新加载整个页面。它可能是什么原因?它连接到SAML票NotOnOrAfter属性?如何解决此问题并禁用此重新加载和重新身份验证 查看详情
SAML 2.0 单次注销问题 - IdP 应如何终止在不同用户代理中运行的 SP 会话?
】SAML2.0单次注销问题-IdP应如何终止在不同用户代理中运行的SP会话?【英文标题】:IssuewithSAML2.0singlelogout-HowshouldIdPterminateSPsessionsrunningindifferentuseragents?【发布时间】:2020-07-0113:58:15【问题描述】:我在使用SAML2.0单次注销时遇... 查看详情
使用基于 SAML 的基本身份验证进行身份验证?
】使用基于SAML的基本身份验证进行身份验证?【英文标题】:AuthenticateusingSAML-basedBasicAuthentication?【发布时间】:2015-08-1219:55:40【问题描述】:我有一个用例,其中Web应用程序需要让用户以两种不同的方式进行身份验证,但通过... 查看详情
带有 Spring 会话的 Spring Security SAML
...例:https://github.com/vdenotaris/spring-boot-security-saml-sample身份验证后 查看详情
使用 Spring Security saml 的 IDP 会话超时
...,有人可以解释在SP会话中会发生什么吗?SP如何知道将用户重定向到IDP以再次登录?每次收到请求时,SP都会pingIDP吗?【问题讨论】:【参考方案1】:用户转移到IdP后,会话长度由SP决定。除了SP 查看详情
创建 WCF 休息服务以接受 SAML 并对 Windows 用户进行身份验证
】创建WCF休息服务以接受SAML并对Windows用户进行身份验证【英文标题】:CreatinganWCFrestservicetoacceptSAMLandauthenticateWindowsusers【发布时间】:2018-01-1822:43:02【问题描述】:我必须创建一个WCF服务来接收带有SAML断言的请求。在内部,它... 查看详情
Spring security-无限用户会话超时与IDP
...述】:我们的应用程序使用Spring安全SAML来处理用户身份验证。我有一个要求让用户会话无限期地保持活动状态。有没有办法在SpringSAML中为用户会话超时设置无限超时?IDP有以下配置,所以没问题。<se 查看详情
如何使用 SAML 2.0 响应进行特定 DNN 用户角色组身份验证和授权?
】如何使用SAML2.0响应进行特定DNN用户角色组身份验证和授权?【英文标题】:HowtouseSAML2.0responseforspecificDNNuserrolegroupauthenticationandauthorization?【发布时间】:2019-11-1920:08:11【问题描述】:我正在寻找使用SAML2.0响应将外部用户登录... 查看详情
会话失效后如何重新验证会话 Alamofire?
】会话失效后如何重新验证会话Alamofire?【英文标题】:HowtorevalidatethesessiononceitisinvalidatedAlamofire?【发布时间】:2016-08-2504:06:15【问题描述】:invalidateAndCancel()的使用带来了另一个问题,即如果您需要再次使用会话,则需要再次... 查看详情
saml简介
...登录一次,就可以安全地对多个应用程序和网站进行身份验证。4、SSO如何工作?使用SSO,用户尝试访问的应用程序或网站依赖于受信任的第三方来验证用户的身份。 查看详情
为已通过身份验证的用户向 SP 发起 SAML 2.0 发布
】为已通过身份验证的用户向SP发起SAML2.0发布【英文标题】:InititiateaSAML2.0PosttoanSPforanalreadyAuthenticatedUser【发布时间】:2013-06-2013:59:19【问题描述】:我需要为我们公司购买的第三方产品(服务提供商)实施SSO。他们需要将SAML2.... 查看详情
如何存储firebase身份验证会话
...身份验证在vue中制作的Web应用程序。这里的问题是我每次重新加载页面都需要登录。【问题讨论】:【参考方案1】:Firebase身份验证默认将用户的凭据存储在浏览器的本地存储中,并在页面重新加载时从那里恢复。不过,这需 查看详情