MMMブログ

SAMLシングルサインオン時のクライアント情報をSAMLResponse検証後に取得する

このエントリーをはてなブックマークに追加

関口です。最近Uber Eatsのサブスクリプションを申し込みました。

今回はSAMLプロトコルを利用したシングルサインオン(SSO)開始時に、
クライアントから渡された情報をSAMLResponse検証後に取得する方法を共有します。

RelayState

実装するに当たってまず思い浮かぶのはRelayStateの利用です。

RelayStateはSAMLResponse内に含まれる要素の1つです。
RelayStateの値はSAMLRequestなどが含まれたHTTPレスポンスのパラメーター、もしくはアンティティプロバイダ(IdP)で設定できます。

今回のケースでは、
クライアントから渡された情報をHTTPレスポンスのパラメーターに加えれば良いように一見思えます。

1
https://example.com?RelayState=hogefuga&SAMLRequest=...

RelayStateの値は長さ80バイトを超えてはいけない

しかしながら、公式仕様書内のSAML 2.0 standards section 3.4.3によると、
RelayStateの値は長さ80バイトを超えてはいけないという文言があります。

ある程度のデータがクライアントから送られてくる場合、
80バイトを容易に超えてしまうため何かしらの対策が必要です。

クライアント情報をセッションデータとして登録する

結局のところの解決策としては、
クライアントから渡された情報をそのままパラメーターに設定するのではなく、
セッションデータとして登録するように変更しました。

結果、HTTPレスポンスのパラメーターにはセッションデータのキー値だけを渡しています。

1
https://example.com?RelayState=[キーの値]&SAMLRequest=...

これで80バイト制限を気にせずに済みます。

このエントリーをはてなブックマークに追加

お問い合わせ

見積もり依頼や詳しいご相談など、クラウド・AWSに関する困りごとをお気軽にご相談ください。
以下のお問い合わせ先から受け付けています。

お問合わせはこちら

※通常1営業日内にご回答いたします。