Discourse-saml: SLO не завершает сессию

Поддержка
1

Здравствуйте,

у нас следующая конфигурация:
Официальная версия Discourse 2.5.0 ([ 3f7658cc6e ]) с плагином discourse-saml (коммит 230a58b),
Keycloak (10.0.2) в качестве провайдера идентификации (IdP).

Наш IdP настроен на использование URL https://discourse.our-domain.xxx/auth/saml/slo в качестве URL привязки службы выхода (Logout Service POST Binding URL). Процесс входа работает безупречно. При нажатии кнопки выхода в Discourse сессия в IdP также завершается.

Проблема возникает при использовании функции выхода в IdP. Discourse не завершает сессию. Форум получает запрос, но, похоже, не обрабатывает его корректно. Пользователь остается в системе, и в логах Discourse появляется ошибка.

Имя пользователя в приведенных ниже логах — test.

Started POST "/auth/saml/slo" for 127.0.0.1 at 2020-07-09 18:29:33 +0000                                                                                                                            
OmniAuth::Strategies::SAML::ValidationError (SAML failed to process LogoutRequest)                                                                                                                  
/var/www/discourse/plugins/discourse-saml/gems/2.6.6/gems/omniauth-saml-1.9.0/lib/omniauth/strategies/saml.rb:189:in `handle_logout_request'

Условие if, приводящее к исключению, выглядит следующим образом (saml.rb):

if logout_request.is_valid? &&
     logout_request.name_id == session["saml_uid"]
код для отладочного вывода 
STDERR.puts '*************************************************************************'
STDERR.puts 'raw_request:'                                                             
STDERR.puts raw_request                                                                
STDERR.puts '*************************************************************************'
STDERR.puts 'logout_request.is_valid?'                                                 
STDERR.puts logout_request.is_valid?                                                   
STDERR.puts '*************************************************************************'
STDERR.puts 'logout_request.name_id'                                                   
STDERR.puts logout_request.name_id                                                     
STDERR.puts '*************************************************************************'
STDERR.puts 'session[saml_uid]'                                                        
STDERR.puts session["saml_uid"]                                                        
STDERR.puts '*************************************************************************'

Мы добавили отладочный вывод в файл saml.rb (строка 181) и получили следующие значения:

*************************************************************************
raw_request:
raw request (decoded with base64) 
<?xml version="1.0"?>
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns="urn:oasis:names:tc:SAML:2.0:assertion" Destination="https://discourse.test.our-domain.xxx/auth/saml/slo" ID="ID_ee6ef1f7-a269-443f-9942-1311b2c09636" IssueInstant="2020-07-09T19:20:27.882Z" Version="2.0">
  <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://ima.test.our-domain.xxx/auth/realms/master</saml:Issuer>
  <dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
    <dsig:SignedInfo>
      <dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
      <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
      <dsig:Reference URI="#ID_ee6ef1f7-a269-443f-9942-1311b2c09636">
        <dsig:Transforms>
          <dsig:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
          <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
        </dsig:Transforms>
        <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
        <dsig:DigestValue>nbeIwX97u+NNRf4KswI95oSmI2w=</dsig:DigestValue>
      </dsig:Reference>
    </dsig:SignedInfo>
    <dsig:SignatureValue>[...]</dsig:SignatureValue>
    <dsig:KeyInfo>
      <dsig:KeyName>[...]</dsig:KeyName>
      <dsig:X509Data>
        <dsig:X509Certificate>[...]</dsig:X509Certificate>
      </dsig:X509Data>
      <dsig:KeyValue>
        <dsig:RSAKeyValue>
          <dsig:Modulus>[...]</dsig:Modulus>
          <dsig:Exponent>AQAB</dsig:Exponent>
        </dsig:RSAKeyValue>
      </dsig:KeyValue>
    </dsig:KeyInfo>
  </dsig:Signature>
  <saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">test</saml:NameID>
  <samlp:SessionIndex>393fc3ab-6a18-4b8e-89a5-a005fc48f7cf::36a71dc0-22a0-4b72-be02-68639bedea06</samlp:SessionIndex>
</samlp:LogoutRequest>


*************************************************************************
logout_request.is_valid?           
true                                          
*************************************************************************
logout_request.name_id
test
*************************************************************************
session[saml_uid]
                                                                       
*************************************************************************

Может ли кто-нибудь нам помочь? На наш взгляд, это не проблема конфигурации.

Заранее спасибо,

Макс

2

Наш плагин не обрабатывает значение сессии saml_uid. Это делает сам гем omniauth-saml. Поэтому я не понимаю, почему у вас в session["saml_uid"] пустое значение. Возможно, вам стоит сообщить об этой проблеме в репозиторий гема omniauth.

Кроме того, ни один из клиентов пока не сообщал о проблемах в SLO.

3

Я заметил то же самое:

  • 2 приложения (Discourse и другое, назовём его X), подключённые к Keycloak через SAML.
  • Выход из Discourse. Пользователь также выходит из X и не может там ничего делать.
  • Выход из X. Сессия в Keycloak уничтожается, но пользователь остаётся онлайн в Discourse.

Даже перезагрузка страницы браузера в Discourse не проверяет, что SAML-аутентификация больше не действительна (= пользователь не вышел из системы).

Я ожидал, что пользователь также выйдет из Discourse.
Проверяет ли Discourse SAML-аутентификацию в Keycloak?
Когда это происходит?

4

Возможно ли проверить, что сессия SAML всё ещё активна? См. ответ выше @vinothkannans