UCS SAML - Wie lange hält eine SAML Session?

german
saml

#1

Hi,
wir wollen UCS als SAML IDP nutzen. Als ersten SP haben wir Google Apps for Business dran.
Jetzt haben wir uns gefragt wie lange läuft denn eine SAML Session? Anwendungsbeispiel:
Wir nutzen die GMail APP auf dem Handy und da logge ich mich initial mit meinem Firmenkonto ein, dann muss ich mich beim Einrichten des Mail-Kontos am SAML authentifizieren. Und wie lange hält diese Anmeldung?
Es gibt ja unter anderem die “SessionNotOnOrAfter”-Einstellung, die in der XML übertragen wird, aber wird die auch genutzt? Und wenn ja wo stelle ich denn das ein, wie lange eine Session hält?


#2

Hallo,

die Gültigkeitsdauer der Session ist in der Variablen session.duration in der Datei /etc/simplesamlphp/config.php definiert. Konfigurierbar ist das zur Zeit nicht per UCR, der default sind 8 Stunden. Wollte man den Wert ändern, müsste das UCR Template angepasst werden.

Die Einstellung wird dann vom UCS IdP bei der Anmeldung beachtet und, wie richtig bemerkt, im SessionNotOnOrAfter Attribut im XML gesetzt.

Ich habe das persönlich mit der G-Suite App noch nicht getestet, könnte mir aber vorstellen, dass bei der Einrichtung des Kontos auf dem Handy nach der einmaligen Anmeldung per SAML ein Token generiert wird, der dem Handy den dauerhaften Zugriff gestattet. Melden Sie sich gerne mit weiteren Fragen oder Erfahrungsberichten hierzu.


#3

Hi,
vielen Dank für die Antwort. Wie von dir richtig vermutet, legt Google einen Token an, der scheinbar dauerhaft hält.
Wir haben das dann einfach durch manuelles Testen herausgefunden. (Zumindest haben wir mehrere Tage das Handy mal ausgemacht, sodass keine weitere Authentifizierung von Seiten der App in Richtung Google stattfinden konnte). Es konnte dann anschliessend problemlos auf gmail/googledrive zugegriffen werden. Der Token wird erst gelöscht, wenn man das Google-Konto vom mobilen Gerät entfernt.


#4

Super, danke für das Feedback :slight_smile: