Request:SAML認証時のRequestedAuthnContextオプション

[hiro-sky]

以下についてご検討いただけますと幸いです。

実現したいこと

・SAML2.0を用いたシングルサインオン認証でGrowiログインする
・IdPにはADFSを利用する
・ADFS側の認証はWindows統合認証を利用する

やれていないこと

・ADFS側の認証はWindows統合認証を利用する

原因

・GrowiからIdPへの認証リクエスト時に「RequestedAuthnContext」内の「AuthnContextClassRef」属性でID/パスワード認証「PasswordProtectedTransport」を指定している

想定される対策

• AuthnContextClassRef属性を指定できる
• RequestedAuthnContextを送信しないフラグdisableRequestedAuthnContext: trueを指定できるようにする
  • SAML provider returned Responder error: NoAuthnContext node-saml/passport-saml#226

[yuki-takei]

@hiro-sky 要望について対応したい気持ちはあるのですが、我々が馴染みのない環境を一から用意するのがちょっと厳しいと感じています。想定される環境でアクセス可能なものをご提供いただくか、あるいは簡単に構築可能な docker-compose リポジトリやマニュアルなどをご用意いただくことは可能でしょうか。

[hiro-sky]

@yuki-takei コメントありがとうございます。
ADFSはWindows Serverの機能ですが、残念ながら私も外部に公開できるサーバライセンスを保有しておりません。
（私自身は検証環境を持っていますが、外部公開ができません）
申し訳ございません。

passport-samlに対しては、上記想定される対策の２ポチ目「RequestedAuthnContextを送信しないフラグ」を追加する対応が多いようです。参照"https://github.com/hackmdio/codimd/pull/1097/commits"
本フラグを追加した上で、KeyCloak等 従来のSSOサービスに対し
①disableRequestedAuthnContext: false　で従来と同じ動きをするか
②disableRequestedAuthnContext: true　でSAML認証送信内容からRequestedAuthnContextタグが消えているか
を確認する　ではいかがでしょうか。
※SAML認証送信内容はクライアントPC上のChromeブラウザに拡張機能「SAML DevTools extension」を入れて確認...など

[yuki-takei]

Summary

v6.3.3 と v7.0.1 にて disableRequestedAuthnContext: true が追加されました。

お知らせ

@hiro-sky だいぶ前に起票いただいた内容で恐縮ですが、可能であれば検証をお願いいたします。

[hiro-sky]

@yuki-takei v6.3.3で確認しました。
ログイン時のリクエストメッセージで「RequestedAuthnContext」内から「AuthnContextClassRef」属性がなくなり、
期待した「ADFS側の認証はWindows統合認証を利用する」動作ができるようになりました。
ご対応ありがとうございました。