— English version below —
Ich will hiermit einen Überblick über die in UCS benutzen Cookies und deren Funktionalität geben.
Wichitg ist, dass in UCS nur technisch notwendige Cookies gespeichert werden.
Die nachfolgende Liste zeigt nur die UCS spezifischen Cookies.
- UMCLang: Hiermit wird die vom Nutzer ausgewählte Sprache für das Portal, die UMC und den Self Service gespeichert.
- univentionCookieSettingsAccepted: Speichert beim verwenden eines Cookie Consent Banners nach der Bestätigung den Wert der Zustimmung und verhindert das erneute Anzeigen des Banners. Der Name des Cookies kann mit einer UCR Variable umgestellt werden: ucr set umc/cookie-banner/cookie='myCustomCookieName.
- UMCUsername: Wird nach dem Login einmalig gesendet, aber direkt danach vom Javascript wieder entfernt.
- UMCSessionId: Speichert nach der Anmeldung die Session-ID für die UMC.
- SimpleSAMLSessionID: Speichert die SimpleSAMLphp Session.
- SimpleSAMLAuthToken: Speichert nach der Authentifizierung den Token für simpleSAMLphp.
- KEYCLOAK_SESSION: Speichert die Keycloak Session und User ID nach der Anmeldung.
- KEYCLOAK_IDENTITY: Speichert einen JWT Token für die aktuelle Keycloak Session.
- AUTH_SESSION_ID: Speichert die Keycloak session ID.
- KC_RESTART: Speichert einen Token zur Wiederaufnahme einer abgelaufenen Client Session.
Je nach angebundenen Applikationen kann es weitere Cookies geben.
Bei Zugriff über einen anderen Port als 80/443 können alle Cookies den Suffix “-$PORT” haben, wobei “$PORT” eine Variable ist.
Folgende UCR Einstellungen können (und sollten wenn möglich) aus Sicherheitsgründen konfiguriert werden:
- umc/http/cookie/samesite: strict
- umc/http/enforce-secure-cookie: true
- umc/http/enforce-session-cookie: true
- saml/idp/language-cookie/secure: true
- saml/idp/language-cookie/samesite: Strict
- saml/idp/session-cookie/samesite: Strict
- saml/idp/session-cookie/secure: yes
- keycloak/cookies/samesite: Strict
Sollte es bei der SSO-Anmeldung zu state information lost kommen, dann sollte saml/idp/session-cookie/samesite: None gesetzt werden.
Referenz: SimpleSAMLphp Documentation
— English version —
I want to provide an overview of the cookies used in UCS and their functionality.
It is important to note that only technically necessary cookies are stored in UCS.
The following list shows only the UCS-specific cookies:
- UMCLang: This cookie stores the user’s selected language for the portal, UMC, and self-service.
- univentionCookieSettingsAccepted: After confirming a cookie consent banner, this cookie stores the value of consent and prevents the banner from being displayed again. The name of the cookie can be changed using a UCR variable: ucr set umc/cookie-banner/cookie='myCustomCookieName.
- UMCUsername: This cookie is sent once after login but immediately removed by JavaScript.
- UMCSessionId: After logging in, this cookie stores the session-ID for UMC.
- SimpleSAMLSessionID: This cookie stores the SimpleSAMLphp session.
- SimpleSAMLAuthToken: After authentication, this cookie stores the token for SimpleSAMLphp.
- KEYCLOAK_SESSION: After logging in, the cookie stores the Keycloak session and user id.
- KEYCLOAK_IDENTITY: Contains a JWT token for the current Keycloak session.
- AUTH_SESSION_ID: Stores the Keycloak session id.
- KC_RESTART: Stores a token so that if there is a client timeout the authentication session can be restarted.
Depending on the connected applications, there may be additional cookies.
When accessing via a port other than 80/443, all cookies can have the suffix “-$PORT” ($PORT is a variable).
The following UCR settings can (and should, if possible) be configured for security reasons:
- umc/http/cookie/samesite: strict
- umc/http/enforce-secure-cookie: true
- umc/http/enforce-session-cookie: true
- saml/idp/language-cookie/secure: true
- saml/idp/language-cookie/samesite: Strict
- saml/idp/session-cookie/samesite: Strict
- saml/idp/session-cookie/secure: yes
- keycloak/cookies/samesite: Strict
If a state information lost occurs during SSO login, then you should set saml/idp/session-cookie/samesite: None.
Reference: SimpleSAMLphp Documentation