2020年2月4日にリリース予定のGoogle Chrome 80から、cookieの取り扱いに関する挙動が変更になり、この影響で特定の設定のIdP/SPにおいて期待するSSOの挙動を示さない、などの調査結果が示されました。
# 上記の通りですので脆弱性・セキュリティに類する問題ではありません
# また、対処を誤ると古いSafariでここに書いてある以上の問題になることが示されており
# ますので、対策として何か行う場合はご留意ください
目次:
| 目次 |
|---|
Shibboleth IdPについて:
https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
下記の影響が見られますのでHTML Local Storageの有効化(idp.storage.htmlLocalStorage=true)が推奨されています。
...
Firefoxでも同様の状況をテストすることが可能です。about:config にて network.cookie.sameSite.laxByDefault=true にして試してください。
IdPのテストは上記のように設定を変更したブラウザで各SPへのログインを試みることが必要かと思われます。
SPのテストはIdPによるログインはもちろん、通常のサービス利用に問題がないかを確認、特にクロスサイトで情報を受け渡す仕組みがあればそれについて問題なく動作することを確認していただく必要があるかと思われます。
また、Shibboleth SPの1点目(RelayState)の問題が存在するかどうかについては、shibboleth2.xmlにrelayState="cookie"(文字列の末尾に":数字"が追加されている場合もあります)が含まれるかを確認するほか、SP→IdPもしくは逆の遷移時のRelayStateパラメーターに"cookie"の文字列が含まれるかどうかで確認することも可能です。
...