我已按照本指南将Spinnaker设置为使用SAML身份验证:https://www.spinnaker.io/setup/security/authentication/saml/
我在身份验证并登录Spinnaker时没有问题-设置似乎正确,并且能够从IdP解码我的SAMLResponse。
在SAMLResponse中,我看到以下内容:
<Response Destination="https://my-service-provider.com/saml/SSO" ID="~" IssueInstant="2019-09-11T22:26:25Z">
<ns2:Assertion Version="2.0">
<ns2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">my.identity.provider</ns2:Issuer>
<ns2:Subject>
<ns2:SubjectConfirmation>
<ns2:SubjectConfirmationData NotOnOrAfter="2019-09-11T22:36:25Z"/>
</ns2:SubjectConfirmation>
</ns2:Subject>
<ns2:Conditions NotBefore="2019-09-11T22:21:25Z" NotOnOrAfter="2019-09-11T22:36:25Z">
</ns2:Conditions>
<ns2:AuthnStatement AuthnInstant="2019-09-11T21:59:29Z" SessionNotOnOrAfter="2019-09-11T22:36:25Z">
</ns2:AuthnStatement>
</ns2:Assertion>
</Response>
我已经删除了很多字段,但是请注意IssueInstant
和NotOnOrAfter
条件-NotOnOrAfter
是IssueInstant
之后的10分钟。
我看到的问题是,一旦达到NotOnOrAfter
,我就注销了,需要重新认证。
这是正常行为吗?我应该与我们的IdP对话以增加NotOnOrAfter
吗?我的会话不应该存储在SSO Cookie(存在)中吗?
当我们与提供者一起设置SAML设置时,这最终成为一个问题。需要将SessionNotOnOrAfter
延长到10分钟以上。