Discourse-saml：SLO 不会取消会话

max_o · 2020 年7 月 9 日 20:08

你好，

我们目前的配置如下：
官方 Discourse 2.5.0 ([ 3f7658cc6e ]) 搭配 discourse-saml 插件（提交版本 230a58b），
Keycloak (10.0.2) 作为身份提供商（IdP）。

我们的身份提供商已配置为使用 URL https://discourse.our-domain.xxx/auth/saml/slo 作为登出服务 POST 绑定地址。我们的登录流程运行 flawless。使用 Discourse 中的登出按钮可以成功取消我们的 IdP 会话。

问题出现在使用 IdP 的登出功能时。Discourse 未能取消会话。论坛接收到了请求，但似乎未能正确处理。用户仍然保持登录状态，并且在 Discourse 日志中出现了错误。

以下日志中的用户名为 test。

Started POST "/auth/saml/slo" for 127.0.0.1 at 2020-07-09 18:29:33 +0000                                                                                                                            
OmniAuth::Strategies::SAML::ValidationError (SAML failed to process LogoutRequest)                                                                                                                  
/var/www/discourse/plugins/discourse-saml/gems/2.6.6/gems/omniauth-saml-1.9.0/lib/omniauth/strategies/saml.rb:189:in `handle_logout_request'

导致该异常的 if 条件如下（saml.rb）：

if logout_request.is_valid? &&
     logout_request.name_id == session["saml_uid"]

调试输出代码

STDERR.puts '*************************************************************************'
STDERR.puts 'raw_request:'                                                             
STDERR.puts raw_request                                                                
STDERR.puts '*************************************************************************'
STDERR.puts 'logout_request.is_valid?'                                                 
STDERR.puts logout_request.is_valid?                                                   
STDERR.puts '*************************************************************************'
STDERR.puts 'logout_request.name_id'                                                   
STDERR.puts logout_request.name_id                                                     
STDERR.puts '*************************************************************************'
STDERR.puts 'session[saml_uid]'                                                        
STDERR.puts session["saml_uid"]                                                        
STDERR.puts '*************************************************************************'

我们在 saml.rb 的第 181 行添加了调试输出，并获得了以下值：

*************************************************************************
raw_request:

原始请求（经 base64 解码）

<?xml version="1.0"?>
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns="urn:oasis:names:tc:SAML:2.0:assertion" Destination="https://discourse.test.our-domain.xxx/auth/saml/slo" ID="ID_ee6ef1f7-a269-443f-9942-1311b2c09636" IssueInstant="2020-07-09T19:20:27.882Z" Version="2.0">
  <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://ima.test.our-domain.xxx/auth/realms/master</saml:Issuer>
  <dsig:Signature xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
    <dsig:SignedInfo>
      <dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
      <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
      <dsig:Reference URI="#ID_ee6ef1f7-a269-443f-9942-1311b2c09636">
        <dsig:Transforms>
          <dsig:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
          <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
        </dsig:Transforms>
        <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
        <dsig:DigestValue>nbeIwX97u+NNRf4KswI95oSmI2w=</dsig:DigestValue>
      </dsig:Reference>
    </dsig:SignedInfo>
    <dsig:SignatureValue>[...]</dsig:SignatureValue>
    <dsig:KeyInfo>
      <dsig:KeyName>[...]</dsig:KeyName>
      <dsig:X509Data>
        <dsig:X509Certificate>[...]</dsig:X509Certificate>
      </dsig:X509Data>
      <dsig:KeyValue>
        <dsig:RSAKeyValue>
          <dsig:Modulus>[...]</dsig:Modulus>
          <dsig:Exponent>AQAB</dsig:Exponent>
        </dsig:RSAKeyValue>
      </dsig:KeyValue>
    </dsig:KeyInfo>
  </dsig:Signature>
  <saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">test</saml:NameID>
  <samlp:SessionIndex>393fc3ab-6a18-4b8e-89a5-a005fc48f7cf::36a71dc0-22a0-4b72-be02-68639bedea06</samlp:SessionIndex>
</samlp:LogoutRequest>

*************************************************************************
logout_request.is_valid?           
true                                          
*************************************************************************
logout_request.name_id
test
*************************************************************************
session[saml_uid]
                                                                       
*************************************************************************

有人能帮我们吗？这看起来不像是一个配置问题。

提前感谢

Max

vinothkannans · 2020 年7 月 14 日 19:20

我们的插件并未处理 saml_uid 会话值，该值由 omniauth-saml gem 本身负责处理。因此，我不确定为何您的 session["saml_uid"] 中会出现空值。您可能需要在 omniauth gem 中报告此问题。

此外，目前尚未有客户报告 SLO 相关的问题。

sbernhard · 2021 年3 月 10 日 12:51

我遇到了同样的问题：

两个应用程序（Discourse 和另一个，暂称为 X）均通过 SAML 连接到 Keycloak。
在 Discourse 中注销后，用户在 X 中也被注销，无法进行任何操作。
在 X 中注销后，Keycloak 的会话已清除，但用户在 Discourse 中仍保持登录状态。

即使在 Discourse 中重新加载浏览器页面，也无法验证 SAML 认证是否已失效（即用户是否已注销）。

我期望用户在 Discourse 中也能被注销。
Discourse 是否会检查 Keycloak 上的 SAML 认证？
它会在何时进行检查？

sbernhard · 2021 年3 月 17 日 07:45

能否验证 SAML 会话是否仍然有效？请参见上文 @vinothkannans 的回答。

话题		回复	浏览量
Discourse SAML logout issue SSO	0	756	2020 年11 月 25 日
IdP-Initiated SLO logout is not working SSO	1	605	2023 年9 月 18 日
Keycloak SSO and logout Support	0	741	2021 年1 月 28 日
SAML is creating error for local user log out SSO	7	803	2023 年5 月 25 日
SAML logout stops working Bug saml , auth-plugins , fixed	4	117	2025 年9 月 17 日

Discourse-saml：SLO 不会取消会话

相关话题