Perché le mie informazioni SSO dovrebbero essere memorizzate nella cache del mio iphone?

Question

Perché le mie informazioni SSO dovrebbero essere memorizzate nella cache del mio iphone?

#1 da (1 voti)

2

Sviluppo molte applicazioni / siti Web interni per il mio lavoro utilizzando il nostro SSO standard. Utilizza SAML2 e ha diversi livelli di sicurezza disponibili.

Abbiamo un fornitore che lo sta utilizzando per uno dei nostri CMS interni. Fondamentalmente devi accedere a SSO ogni giorno per accedere al sito. È necessario solo soddisfare l'autenticazione SSO una volta per browser per quasi tutti i siti interni (quelli di livello più elevato richiedono sempre una nuova autenticazione). Il fornitore / CMS non è a questo livello, ma ha solo l'autenticazione SSO di base.

Quindi apporto alcune modifiche al sito del fornitore e le diffondo nel fine settimana. Devo controllare le modifiche su diversi browser. FF, Chrome, IE8, IE11, Safari, Android, Blackberry, Iphone ...

Ho dovuto accedere a SSO ogni volta ... Fino a quando non cerco il mio iphone. Vado al sito Web e non reindirizzato a SSO, ho appena entrare. Non avevo effettuato l'accesso al sito su iPhone in più di una settimana. Come potrebbe l'iphone restituire un cookie autenticato all'SSO?

mobile sso

posta blankip 19.02.2015 - 16:22

fonte

1 risposta

Leggi altre domande sui tag mobile sso

FIDO U2F utilizza su più dispositivi per lo stesso servizio Va bene archiviare i tasti beta monouso in testo semplice?

score 1 · Answer 1

L'architettura SSO ha dei livelli, solitamente possiamo suddividerli in due componenti principali: - Le sessioni Identity Provider (IdP). - La sessione Service Provider (SP).

Ciascuna di queste sessioni verrà generalmente conservata nel browser come cookie, come si afferma sopra. La sessione IdP è di solito la "chiave" di SSO e ha una data di scadenza impostata. Tuttavia, in alcune architetture, l'SP emette la propria sessione dopo un'affermazione riuscita del provider di identità. Questa sessione SP può essere indipendente dalla sessione IdP e l'SP non può verificare con l'IdP la stoltezza della sessione.

Quindi, non penso che tu abbia una vera sessione SSO. Credo che tu abbia una sessione con questo specifico SP contro cui stavi testando. Se cancelli completamente la cronologia, i cookie e la cache dell'iPhone, questo non dovrebbe funzionare. La causa principale è probabile che l'SP non scada le sessioni e la sessione emessa è longeva e si trova nel barattolo dei cookie del browser iPhone. Sospetto che i tuoi altri browser abbiano cancellato la sessione al momento della chiusura del browser.