You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Vanaf versie EB 6.7 stuurt Engineblock het urn:collab:person nameId in het attribuut internal-CollabPersonId. SA-GW moet dit attribuut gebruiken om de gebruiker te herkennen, maar doet dat nog op basis van het NameID wat nu verschillende formaten kan hebben afhankelijk van wat de eind-SP nodig heeft.
SA-GW zet wel de correcte values in de uitgaande assertiion. Het zoekt echter de tokens op bv op basis van de transient nameid en vindt dan begrijpelijkerwijs niets.
Om het probleem te reproduceren:
Heb EB 6.7+
Log in op RA met een account dat minstens een gevet token heeft op loa3: token wordt gevraagd en na presentatie ben je ingelogd op RA
Configureer RA met NameIdFormat=transient in Manage, push
Log in op RA met een account dat minstens een gevet token heeft op loa3: token wordt niet gevraagd maar sa-gw stuurt een response naar RA met NoAuthnContext SAML error.
(NB: ook na het fixen van deze bug werkt RA niet met een transient NameID, dat klopt, maar het token wordt dan wel gevraagd en een in principe correcte assertion wordt gestuurd.)
Heldere beschrijving! En de voorgestelde oplossing is in mijn ogen inderdaad de plek om het probleem op te lossen. Ik heb de andere locaties waar ->getNameId op een assertion wordt aangeroepen ook nog bekeken. Daar lijkt het probleem niet te spelen. Zover ik het kon beredeneren is het juist goed om daar met het NameId te werken en niet het eb internalCollabPersonId attribuut daar te gebruiken.
This issue is imported from pivotal - Originaly created at May 24, 2022 by Thijs Kinkhorst
Vanaf versie EB 6.7 stuurt Engineblock het urn:collab:person nameId in het attribuut internal-CollabPersonId. SA-GW moet dit attribuut gebruiken om de gebruiker te herkennen, maar doet dat nog op basis van het NameID wat nu verschillende formaten kan hebben afhankelijk van wat de eind-SP nodig heeft.
SA-GW zet wel de correcte values in de uitgaande assertiion. Het zoekt echter de tokens op bv op basis van de transient nameid en vindt dan begrijpelijkerwijs niets.
Om het probleem te reproduceren:
(NB: ook na het fixen van deze bug werkt RA niet met een transient NameID, dat klopt, maar het token wordt dan wel gevraagd en een in principe correcte assertion wordt gestuurd.)
Mogelijke oorzaak/fix?: https://github.com/OpenConext/Stepup-Gateway/blob/develop/docs/GatewayState.md
Stepup-Gateway/src/Surfnet/StepupGateway/GatewayBundle/Saml/ResponseContext.php
Lines 176 to 182 in 798cd81
Vermoedelijk moet hier als internal-CollabPersonId aanwezig is deze gebruiken, anders de huidige aanpak.
Estimation: 3h
The text was updated successfully, but these errors were encountered: