Page tree
Skip to end of metadata
Go to start of metadata

Bij inloggen met SURFconext zijn verschillende systemen betrokken: het authenticatie systeem van de instelling (de IdP), SURFconext en de service waarop ingelogd wordt (de SP). Tussen deze drie wordt gecommuniceerd via SAML berichten. In een SAML-trace worden deze SAML berichten allemaal bijgehouden. Hierdoor is heel precies te detecteren wanneer en bij welke partij het inloggen fout loopt.

Tools voor het inzichtelijk vastleggen van SAML berichten zijn beschikbaar in twee browsers: Mozilla Firefox en Google Chrome. Hieronder staat voor beide een handleiding.

Firefox - SAML tracer

SAML-tracer is een Firefox extensie die, nadat deze is geactiveerd, al het HTTP verkeer tussen de browser en het internet verzamelt. SAML wordt hier ook mee verzonden, en is zichtbaar te maken door op de SAML tab te klikken bij HTTP GET en HTTP POST berichten die SAML bevatten.

Met SAML-tracer kun je alle berichten die je hebt vastgelegd, de trace, opslaan naar een bestand. Deze bestanden zijn ook weer in te laden in SAML-tracer om later nog een keer te bekijken. Wanneer het op de standaard manier niet lukt om te achterhalen waarom het inloggen via SURFconext niet goed verloopt, kan SURFconext support vragen om zo een trace op te sturen zodat deze nader kan worden onderzocht.

Installatie

Als je de SAML-Tracer wilt downloaden, moet je een aantal stappen doorlopen:


StapActieAfbeelding
1Open Firefox.
2Navigeer naar de volgende pagina.
3Klik op "+ Toevoegen aan Firefox" (Add to Firefox).

4Klik op "Add" om de plugin toe te voegen.

5

Vink en vakje aan zodat de Plugin ook in een privé-venster werkt. Klik hierna op "Okay, Got it" om te bevestigen.

Gebruik

Voor het vastleggen van een trace:


StapActieAfbeelding
1Open de SAML-tracer. Deze is te vinden rechtsboven in de browser naast het "hamburger menu" () rechts naast de urlbalk.

2

Er opent een nieuw scherm en de trace begint direct te lopen.


Klik eventueel linksboven op "X Clear" om de trace te resetten voordat je doorgaat naar de volgende stap.

3Ga naar de dienst waar je wil inloggen.
4Probeer in te loggen.
5Volg de stappen onder het kopje "Exporteren van een trace" om de trace veilig te exporteren nadat het inloggen is afgerond.


Zolang het SAML-tracervenster open is worden alle HTTP-berichten vastgelegd. Het is dus belangrijk om de SAML-trace te laten lopen van voor het inloggen, tot het punt dat het inlogproces beëindigd is. 

Exporteren van een trace

Als je een trace hebt gemaakt, sla deze dan op. Doorloop hiervoor de volgende stappen:

StapActieAfbeelding
1Klik op de 'Export'-knop in de werkbalk van de 'Saml tracer'-venster.

2Selecteer 'Mask Values', om gevoelige informatie uit de trace te verhullen. Zie ook: "Privacy en waardes verhullen".

3Klik op Export.
4Geef het bestand een naam en een plek, en sla het bestand op.
5Mail het bestand naar support@surfconext.nl.

Chrome - SAML Chrome Panel

Installatie

Om de SAML Chrome Panel extensie te installeren moet je de volgende stappen doorlopen:

StapActieAfbeelding
1Open Chrome.
2Navigeer naar de volgende pagina.
3Klik op "Toev. aan Chrome".

4Klik op "Extensie toevoegen" om de plugin toe te voegen.

Gebruik

Voor het vastleggen van een trace:

StapActieAfbeelding
1Open de SAML-tracer. Deze is te vinden rechtsboven in de browser naast de urlbalk.

2

Er opent een nieuw scherm en de trace begint direct te lopen.


Klik eventueel linksboven op "X Clear" om de trace te resetten voordat je doorgaat naar de volgende stap.

3Ga naar de dienst waar je wil inloggen.
4Probeer in te loggen.
5Volg de stappen onder het kopje "Exporteren van een trace" om de trace veilig te exporteren nadat het inloggen is afgerond.

Zolang het SAML-tracervenster open is worden alle HTTP-berichten vastgelegd. Het is dus belangrijk om de SAML-trace te laten lopen van voor het inloggen, tot het punt dat het inlogproces beëindigd is.

Exporteren van een trace

Als je een trace hebt gemaakt, sla deze dan op. Doorloop hiervoor de volgende stappen:

StapActieAfbeelding
1Klik op de 'Export'-knop in de werkbalk van de 'Saml tracer'-venster.

2Selecteer 'Mask Values', om gevoelige informatie uit de trace te verhullen. Zie ook: "Privacy en waardes verhullen".

3Klik op Export.
4Geef het bestand een naam en een plek, en sla het bestand op.
5Mail het bestand naar support@surfconext.nl.

Privacy en veiligheid

Een SAML-trace bevat waardevolle informatie: voor een gebruiker of de helpdesk om te achterhalen wat er gebeurt tijdens het inloggen, maar bij verkeerd gebruik ook voor een kwaadwillende. Sessie cookies en informatie die door de gebruiker gesubmit wordt in de browser, waaronder username en passwords, worden door de SAML-tracer verzameld. Daarnaast kan er nog privacygevoelige informatie, die met de attributen worden meegezonden (zoals naam van de instelling en e-mailadres), worden opgeslagen. De inhoud van een SAML-trace moet daarom behandeld worden als gevoelige informatie.

De plugins hebben de mogelijkheden deze waardes te maskeren of te verwijderen.

Privacy en waardes verhullen

Omdat het niet te makkelijk te maken voor een gebruiker deze informatie onbedoeld te lekken biedt de SAML tracer de mogelijkheid bij het opslaan informatie in meer of mindere mate te verwijderen. Er zijn 3 opties:

  • None - de trace wordt onveranderd omgeslagen, waardes worden niet gemaskeerd;
  • Mask values - vervang de cookies en POST variabelen door een SHA-1 hash van de waarde. Deze optie maakt de waarde moeilijk leesbaar. Dit is de default optie;
  • Remove values - verwijder cookies en POST variabelen. De inhoud van SAML berichten wordt bewaard. Een SAML bericht is gevoelig daar waar het een “IdP initated” login betreft. Bij dit type bericht wordt een cookie nog wel bewaard. Geldigheid is wel beperkt, typisch 5 min, waardoor een aanvaller maar korte tijd gebruik kan maken van de gestolen data.
  • No labels