Allgemeine Anforderungen an das Session-Management

Die Einhaltung der eIAM Anforderungen an das Session-Management sind verbindlich für Anwendungen, die innerhalb der Netzwerke der Bundesverwaltung betrieben werden!

Sessions zwischen dem Benutzer und dem eIAM-Web PEP sowie zwischen dem eIAM-Web PEP und der Applikation sind notwendig, wenn die Applikation einen State führt.

Nachfolgend sind die allgemeinen Anforderungen an das Session Management beschrieben. Detaillierte Anforderungen finden Sie unter

Detaillierte technische Anforderungen aus der SAML 2.0 Schnittstelle

SSO-Session auf PEP und Session in der Applikation

Wichtig ist es, zwischen der SSO-Session auf dem eIAM-Web PEP und der Session in den einzelnen Applikationen zu unterscheiden.

Bei einem direkten Zugang zu einer Applikation (ohne eIAM) wird eine Session zwischen dem Webbrowser und dieser Applikation erstellt. Sobald die Applikation aber durch einen eIAM-Web PEP geschützt wird, wird eine SSO-Session zwischen dem Webbrowser und dem eIAM-Web PEP erstellt. Der Webbrowser hat nur eine einzige SSO-Session, nämlich diejenige mit dem eIAM-Web PEP. Dies gilt auch, wenn vom gleichen Benutzer auf mehrere Applikationen hinter dem gleichen eIAM-Web PEP zugegriffen wird. Hingegen hat jede dieser Applikationen eine voneinander unabhängige Session mit dem eIAM-Web PEP. Alle diese Sessions sind an die gleiche SSO-Session auf dem PEP gebunden und werden beendet, wenn die SSO-Session bei einem durch den Benutzer ausgelösten Logout oder einem vom eIAM-Web PEP festgestellten Session-Timeout beendet wird.

Session Tracking

Das Session Tracking der Applikation hat per Session Cookie zu erfolgen. URL-Rewriting als Session Tracking Methode wird von eIAM nicht unterstützt.

Regel 9: Die Verwendung von Cookies für das Session-Tracking der Applikation ist zwingend.

Single-Sign-On (SSO)

SSO steht für Single-Sign-on und bedeutet, dass sich der Endbenutzer nur einmal anmelden muss und danach für eine vordefinierte Zeit auf alle Ressourcen zugreifen kann, die zu dieser SSO-Domäne gehören, ohne sich wieder erneut anmelden zu müssen. Greift der Benutzer auf die erste Applikation einer SSO Domain zu, so muss er sich zuerst anmelden (authentifizieren). Greift der Benutzer danach auf eine weitere Applikation innerhalb der gleichen SSO Domain zu, so entfällt die Anmeldung da bereits eine SSO-Session auf dem PEP existiert.
SSO-Domäne
SSO-Domäne


Plakativ ausgedrückt umfasst eine SSO-Domäne alle von einem eIAM-Web PEP bedienten Applikationen, welche das gleiche Session Cookie teilen. In anderen Worten können alle Applikationen hinter einem eIAM-Web PEP eine SSO-Domäne bilden, wenn sie über den gleichen FQDN erreichbar sind oder über mehrere FQDN, welche eine gemeinsame Cookie Domain bilden können.

eIAM - Session Timings PEP und Applikation

Der eIAM-Web PEP ist der Master aller Sessions. Generell soll immer der PEP die Sessions auf den verwendeten Applikationen schliessen. Deshalb ist es wichtig, dass die Sessions zwischen eIAM-Web PEP und Applikation eine längere Lebensdauer aufweisen als diejenige zwischen Webbrowser und dem eIAM-Web PEP (siehe untenstehende Tabelle).
Innerhalb einer SSO-Session zwischen Webbrowser und PEP können mehrere Applikationen in der gleichen SSO-Domain auf dem PEP geschützt werden. Der Zeitpunkt, an dem die einzelnen Applikationen innerhalb der gleichen SSO-Session auf dem PEP vom Benutzer genutzt werden, ist variabel. So kann eine Applikation A gleich am Anfang der SSO-Session verwendet werden und dann längere Zeit nicht mehr, während Applikation D erst gegen Ende der maximalen Lebensdauer der Session auf dem PEP verwendet wird. Dementsprechend ist es wichtig, dass die Applikationen ihre Session Dauer und Timeouts dem PEP anpassen.

Parameter                   Wert                      Bemerkung
eIAM-Web PEP Session-Lifetime 43200 Sek (12 Stunden); absolut Nach dieser Zeit wird die Session auf jeden Fall invalidiert und der Benutzer muss sich neu anmelden. Alle während der Session vom PEP verwendeten Applikationen werden per Logout URI notifiziert, damit diese die Session auch sauber schliessen können.
eIAM-Web PEP Inactivity Interval 7200 Sek.(120 Min.); absolut Nach dieser Zeit wird die Session auf dem PEP zerstört, wenn Inaktivität festgestellt wurde. Der Benutzer muss eine neue Session starten. Mit diesem Wert überlebt die Session auch kleinere Unterbrüche wie kurze Meetings, Pausen etc. Der Inactivity Interval auf den Applikationen muss länger sein.
Applikation Session Lifetime Variabel: SessionNotOnOrAfter Die maximale Session Lebenszeit der Applikation soll länger sein als diejenige des PEP. Die Applikation SOLL die Lebenszeit ihrer Session anhand des Wertes aus dem „SessionNotOnOrAfter“ Attribut im „AuthnStatement“ der SAML Assertion des PEP berechnen.
Applikation Inactivity Interval Variabel: SessionNotOnOrAfter Die Inactivity Interval der Applikation soll so lange gewählt sein, dass die Verwendung der Applikation bis zum Ende der SSO Sitzung auf dem PEP möglich ist. Die Applikation SOLL die Lebenszeit ihrer Session anhand des Wertes aus dem „SessionNotOnOrAfter“ Attribut im „AuthnStatement“ der SAML Assertion des PEP berechnen. Ist der Inactivity Interval der Applikation kürzer, so muss die Applikation einen neuen Security Kontext mit dem PEP aufbauen, indem sie an den PEP einen neuen SAML 2.0 AuthnRequest stellt.

Regel 10: Applikatorische Timings sollen höher sein als diejenigen auf dem PEP. Der PEP ist der Master über die Sessions.