Discourse-saml: SLO não cancela sessão

max_o · Julho 9, 2020, 8:08pm

Olá,

Temos a seguinte configuração:
Discourse Oficial 2.5.0 ([ 3f7658cc6e ]) com o plugin discourse-saml (commit 230a58b),
Keycloak (10.0.2) como Provedor de Identidade (IdP)

Nosso Provedor de Identidade está configurado para usar a URL https://discourse.our-domain.xxx/auth/saml/slo como URL de Vinculação de Serviço de Logout POST. Nosso processo de login funciona perfeitamente. Ao usar o botão de logout no Discourse, a sessão do nosso IdP também é cancelada.

O problema ocorre ao utilizar a funcionalidade de logout do IdP. O Discourse não cancela a sessão. O fórum recebe a solicitação, mas parece não tratá-la corretamente. O usuário permanece logado e recebemos um erro no log do Discourse.

O nome de usuário para os seguintes logs é test.

Started POST "/auth/saml/slo" for 127.0.0.1 at 2020-07-09 18:29:33 +0000                                                                                                                            
OmniAuth::Strategies::SAML::ValidationError (SAML failed to process LogoutRequest)                                                                                                                  
/var/www/discourse/plugins/discourse-saml/gems/2.6.6/gems/omniauth-saml-1.9.0/lib/omniauth/strategies/saml.rb:189:in `handle_logout_request'

A condição if que leva à exceção é a seguinte (saml.rb):

if logout_request.is_valid? &&
     logout_request.name_id == session["saml_uid"]

código para saída de depuração

STDERR.puts '*************************************************************************'
STDERR.puts 'raw_request:'                                                             
STDERR.puts raw_request                                                                
STDERR.puts '*************************************************************************'
STDERR.puts 'logout_request.is_valid?'                                                 
STDERR.puts logout_request.is_valid?                                                   
STDERR.puts '*************************************************************************'
STDERR.puts 'logout_request.name_id'                                                   
STDERR.puts logout_request.name_id                                                     
STDERR.puts '*************************************************************************'
STDERR.puts 'session[saml_uid]'                                                        
STDERR.puts session["saml_uid"]                                                        
STDERR.puts '*************************************************************************'

Adicionamos a saída de depuração no saml.rb (linha 181) e recebemos os seguintes valores:

*************************************************************************
raw_request:

solicitação bruta (decodificada com base64)

<?xml version="1.0"?>
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns="urn:oasis:names:tc:SAML:2.0:assertion" Destination="https://discourse.test.our-domain.xxx/auth/saml/slo" ID="ID_ee6ef1f7-a269-443f-9942-1311b2c09636" IssueInstant="2020-07-09T19:20:27.882Z" Version="2.0">
  <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://ima.test.our-domain.xxx/auth/realms/master</saml:Issuer>
  <dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
    <dsig:SignedInfo>
      <dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
      <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
      <dsig:Reference URI="#ID_ee6ef1f7-a269-443f-9942-1311b2c09636">
        <dsig:Transforms>
          <dsig:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
          <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
        </dsig:Transforms>
        <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
        <dsig:DigestValue>nbeIwX97u+NNRf4KswI95oSmI2w=</dsig:DigestValue>
      </dsig:Reference>
    </dsig:SignedInfo>
    <dsig:SignatureValue>[...]</dsig:SignatureValue>
    <dsig:KeyInfo>
      <dsig:KeyName>[...]</dsig:KeyName>
      <dsig:X509Data>
        <dsig:X509Certificate>[...]</dsig:X509Certificate>
      </dsig:X509Data>
      <dsig:KeyValue>
        <dsig:RSAKeyValue>
          <dsig:Modulus>[...]</dsig:Modulus>
          <dsig:Exponent>AQAB</dsig:Exponent>
        </dsig:RSAKeyValue>
      </dsig:KeyValue>
    </dsig:KeyInfo>
  </dsig:Signature>
  <saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">test</saml:NameID>
  <samlp:SessionIndex>393fc3ab-6a18-4b8e-89a5-a005fc48f7cf::36a71dc0-22a0-4b72-be02-68639bedea06</samlp:SessionIndex>
</samlp:LogoutRequest>

*************************************************************************
logout_request.is_valid?           
true                                          
*************************************************************************
logout_request.name_id
test
*************************************************************************
session[saml_uid]
                                                                       
*************************************************************************

Alguém pode nos ajudar? Não parece ser um problema de configuração para nós.

Obrigado antecipadamente

Max

vinothkannans · Julho 14, 2020, 7:20pm

Não estamos lidando com o valor de sessão saml_uid no nosso plugin. Isso é tratado pelo próprio gem omniauth-saml. Portanto, não tenho certeza do motivo pelo qual você tem um valor vazio em session["saml_uid"]. Talvez seja necessário relatar o problema no gem omniauth.

Além disso, nenhum dos clientes relatou um problema no SLO até agora.

sbernhard · Março 10, 2021, 12:51pm

Eu reconheci a mesma coisa:

2 aplicações (Discourse e outra, vamos chamá-la de X) conectadas ao Keycloak via SAML.
Ao fazer logout no Discourse, o usuário também é desconectado da aplicação X e não consegue fazer nada lá.
Ao fazer logout na aplicação X, a sessão no Keycloak é encerrada, mas o usuário permanece conectado no Discourse.

Até mesmo um recarregamento da página no navegador no Discourse não valida que a autenticação SAML foi removida (= usuário desconectado).

Eu esperaria que o usuário também fosse desconectado no Discourse.
O Discourse verifica a autenticação SAML no Keycloak? Quando isso acontece?

sbernhard · Março 17, 2021, 7:45am

Seria possível validar se a sessão SAML ainda está ativa? Veja a resposta acima @vinothkannans

Tópico		Respostas	Visualizações
Discourse SAML logout issue SSO	0	756	25 de Novembro de 2020
IdP-Initiated SLO logout is not working SSO	1	605	18 de Setembro de 2023
Keycloak SSO and logout Support	0	741	28 de Janeiro de 2021
SAML is creating error for local user log out SSO	7	803	25 de Maio de 2023
SAML logout stops working Bug saml , auth-plugins , fixed	4	118	17 de Setembro de 2025

Discourse-saml: SLO não cancela sessão

Tópicos relacionados