Exigences générales pour la gestion des sessions

Le respect des exigences eIAM en matière de gestion des sessions est obligatoire pour les applications qui sont exploitées au sein des réseaux de l'administration fédérale!

Les sessions entre l'utilisateur et l'eIAM-Web PEP ainsi qu'entre l'eIAM-Web PEP et l'application sont nécessaires si l'application gère un état.

Les exigences générales pour la gestion des sessions sont décrites ci-dessous. Les exigences détaillées se trouvent sous

Exigences techniques détaillées de l'interface SAML 2.0

Session SSO sur PEP et session dans l'application

Il est important de faire la distinction entre la session SSO sur le PEP eIAM-Web et la session dans les différentes applications.

Lors d'un accès direct à une application (sans eIAM), une session est créée entre le navigateur web et cette application. Mais dès que l'application est protégée par un eIAM-Web PEP, une session SSO est créée entre le navigateur web et le eIAM-Web PEP. Le navigateur web n'a qu'une seule session SSO, celle avec le eIAM-Web PEP. Ceci est également valable lorsque le même utilisateur accède à plusieurs applications derrière le même eIAM-Web PEP. Par contre, chacune de ces applications a une session indépendante avec le PEP eIAM-Web. Toutes ces sessions sont liées à la même session SSO sur le PEP et se terminent lorsque la session SSO se termine lors d'une déconnexion déclenchée par l'utilisateur ou d'un timeout de session détecté par eIAM-Web PEP.

Session Tracking

Le suivi de session de l'application doit être effectué par cookie de session. Le URL-Rewriting comme méthode de suivi de session n'est pas supportée par eIAM.

9ème règle: L'utilisation de cookies pour le suivi de session de l'application est obligatoire.

Single-Sign-On (SSO)

SSO signifie Single-Sign-on et signifie que l'utilisateur final ne doit se connecter qu'une seule fois et qu'il peut ensuite accéder à toutes les ressources appartenant à ce domaine SSO pendant une durée prédéfinie, sans devoir se connecter à nouveau. Si l'utilisateur accède à la première application d'un domaine SSO, il doit d'abord s'identifier (s'authentifier). Si l'utilisateur accède ensuite à une autre application au sein du même domaine SSO, il n'est pas nécessaire de se connecter puisqu'une session SSO existe déjà sur le PEP.
Domaine SSO
Domaine SSO


En d'autres termes, un domaine SSO comprend toutes les applications desservies par un PEP eIAM-Web qui partagent le même cookie de session. En d'autres termes, toutes les applications derrière un PEP eIAM-Web peuvent constituer un domaine SSO si elles sont accessibles par le même FQDN ou par plusieurs FQDN qui peuvent former un domaine de cookie commun.

eIAM - Session Timings PEP et Application

Le PEP eIAM-Web est le maître de toutes les sessions. En général, c'est toujours le PEP qui doit fermer les sessions sur les applications utilisées. C'est pourquoi il est important que les sessions entre eIAM-Web PEP et l'application aient une durée de vie plus longue que celle entre le navigateur web et eIAM-Web PEP (voir tableau ci-dessous).
Dans une session SSO entre le navigateur web et le PEP, plusieurs applications peuvent être protégées dans le même domaine SSO sur le PEP. Le moment où les applications individuelles sont utilisées par l'utilisateur au sein de la même session SSO sur le PEP est variable. Ainsi, une application A peut être utilisée dès le début de la session SSO et ne plus l'être pendant un certain temps, tandis que l'application D n'est utilisée sur le PEP que vers la fin de la durée de vie maximale de la session. Il est donc important que les applications adaptent la durée de leur session et les délais d'attente au PEP.

Paramètre                     Valeur                      Remarque
eIAM-Web PEP Session-Lifetime 43200 sec (12 heures) ; absolu Passé ce délai, la session sera de toute façon invalidée et l'utilisateur devra se reconnecter. Toutes les applications utilisées par le PEP pendant la session sont notifiées par l'URI de déconnexion, afin qu'elles puissent également fermer proprement la session.
eIAM-Web PEP Inactivity Interval 7200 sec (120 min.) ; absolu Après ce délai, la session est détruite sur le PEP si une inactivité est constatée. L'utilisateur doit démarrer une nouvelle session. Avec cette valeur, la session survit également aux petites interruptions telles que les courtes réunions, les pauses, etc. L'intervalle d'inactivité sur les applications doit être plus long.
Application Session Lifetime Variable: SessionNotOnOrAfter La durée de vie maximale de la session de l'application doit être plus longue que celle du PEP. L'application DOIT calculer la durée de vie de sa session à partir de la valeur de l'attribut "SessionNotOnOrAfter" dans l'"AuthnStatement" de l'assertion SAML du PEP.
Application Inactivity Interval Variable: SessionNotOnOrAfter L'intervalle d'inactivité de l'application doit être choisi de manière à ce que l'utilisation de l'application soit possible jusqu'à la fin de la session SSO sur le PEP. L'application DOIT calculer la durée de vie de sa session à l'aide de la valeur de l'attribut "SessionNotOnOrAfter" dans "AuthnStatement" de l'assertion SAML du PEP. Si l'intervalle d'inactivité de l'application est plus court, l'application doit établir un nouveau contexte de sécurité avec le PEP en envoyant une nouvelle AuthnRequest SAML 2.0 au PEP.

10ème règle: Les timings de l'application doivent être plus élevés que ceux du PEP. Le PEP est le maître des sessions.