Утверждение SAML с идентификатором [id] воспроизводится - PullRequest
1 голос
/ 25 сентября 2019

Я использую ComponentSpace для настройки SAML для моего основного приложения .net.Используется IDP OneLogin, а поставщик услуг построен на основе их примеров.

Все отлично работает на местном.Мы развернули сегодня и при каждой попытке подключения мы получаем ошибку

"The SAML assertion with ID [the id] is being replayed". 

Чтобы упомянуть, что сервер, на котором мы развернули приложение, находится в Австралии.

Я не понимаю, почему воспроизводится, если мы просто попытались подключиться.При каждой ошибке мы видим разные идентификаторы.

Я пытался установить для AssertionLifetime значение 24 часа

"AssertionLifeTime": "24:04:04"

Но это не имело никакого значения.

1 Ответ

1 голос
/ 27 сентября 2019

Мы храним кэш предыдущих идентификаторов утверждений SAML, чтобы мы могли обнаружить возможные атаки воспроизведения.Каждое утверждение SAML имеет уникальный идентификатор, поэтому вы больше никогда не увидите тот же идентификатор.Каждый раз, когда мы получаем утверждение, мы проверяем его по этому кешу.Мы выкидываем это исключение, если идентификатор находится в кеше.При нормальных обстоятельствах вы не должны видеть этот тип ошибки.

Ни местоположение сервера, ни время жизни подтверждения не должны иметь никакого влияния.Существуют отдельные проверки, чтобы убедиться, что срок действия подтверждения не истек, но время указано в UTC, и пока часы сервера достаточно синхронизированы, проблем не будет.Если бы вы увидели другое сообщение об исключении.

Странно, что вы видите его ошибку и даже более странно, что она началась только после развертывания.Ответы SAML отправляются IdP в сообщении HTTP.Возможно ли, что существует какая-то сетевая инфраструктура или конфигурация, которая вызывает дублирование этих сообщений?Отслеживание сетевого трафика, полученного вашим приложением, поможет определить причину.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...