2020年2月4日にリリース予定のGoogle Chrome 80から、cookieの取り扱いに関する挙動が変更になり、この影響で特定の設定のIdP/SPにおいて期待するSSOの挙動を示さない、などの調査結果が示されました。
# 上記の通りですので脆弱性・セキュリティに類する問題ではありません
# また、対処を誤ると古いSafariで上記以上の問題になることが示されており
# ますので、対策として何か行う場合は十分ご留意ください
Shibboleth IdPについて:
https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
下記の影響が見られますのでHTML Local Storageの有効化(idp.storage.htmlLocalStorage=true)が推奨されています。
- (学認の技術ガイドに沿って構築したIdPについて)特定のSPからの認証要求でSSOが期待される場面でもログイン画面が表示されID/パスワードを要求される
Shibboleth SPについて:
https://wiki.shibboleth.net/confluence/display/SP3/SameSite
学認技術ガイドに沿った構築でかつWebアプリケーションの構成が単純な場合、影響を受けない模様です。
- RelayStateにcookieを使うよう設定変更をしている場合、認証に時間がかかると本来の遷移先を忘れ認証後にサイトトップ等に遷移する
- Webアプリケーションが独自にセッションを管理しておらずShibbolethセッションに依存している場合、クロスサイトのPOSTを伴う場合にログイン状態が維持されない
- Form Recovery機能を有効にしている場合、認証に時間がかかるとこれが機能しない
これはSAMLの仕様に起因するものであるため、Shibboleth以外(simpleSAMLphp, ADFS等)のIdP/SPも影響を受ける可能性がございます。またSP側のWebアプリケーション自体に、クロスサイトでデータを受け渡すことに依存する部分があれば今回の挙動変更の影響を受ける可能性があります。
運用されている各IdP/SPでサービスの挙動に問題がないかご確認をお願いいたします。