Spinnaker 在 SAMLResponse 断言不再有效后注销用户

Question

我已按照本指南将 Spinnaker 设置为使用 SAML 身份验证：https://www.spinnaker.io/setup/security/authentication/saml/

我在 Spinnaker 的身份验证和登录上没有问题 - 设置似乎正确，我能够从 IdP 解码我的 SAMLResponse。

在 SAMLResponse 中，我看到以下内容：

<Response Destination="https://my-service-provider.com/saml/SSO" ID="~" IssueInstant="2019-09-11T22:26:25Z">
        <ns2:Assertion Version="2.0">
        <ns2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">my.identity.provider</ns2:Issuer>
        <ns2:Subject>
            <ns2:SubjectConfirmation>
                <ns2:SubjectConfirmationData NotOnOrAfter="2019-09-11T22:36:25Z"/>
            </ns2:SubjectConfirmation>
        </ns2:Subject>
        <ns2:Conditions NotBefore="2019-09-11T22:21:25Z" NotOnOrAfter="2019-09-11T22:36:25Z">
        </ns2:Conditions>
        <ns2:AuthnStatement AuthnInstant="2019-09-11T21:59:29Z" SessionNotOnOrAfter="2019-09-11T22:36:25Z">
        </ns2:AuthnStatement>
        </ns2:Assertion>
</Response>

我删除了很多字段，但请注意 IssueInstant 和 NotOnOrAfter 条件 - NotOnOrAfter 在 IssueInstant 之后 10 分钟。

我看到的问题是，一旦达到 NotOnOrAfter，我就会注销并需要重新验证。

这是正常现象吗？我是否应该与我们的 IdP 联系以增加 NotOnOrAfter？我的会话不应该存储在 SSO cookie（存在）中吗？

Answer 1

当我们与我们的提供商一起设置 SAML 设置时，这最终成为一个问题。需要将 SessionNotOnOrAfter 延长到 10 分钟以上。

Spinnaker 在 SAMLResponse 断言不再有效后注销用户

Spinnaker logging out user after SAMLResponse assertion is no longer valid

saml-2.0

spinnaker