You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 18 Next »

Bij inloggen met SURFconext zijn verschillende systemen betrokken: het authenticatie systeem van de instelling (de IdP), SURFconext en de service waarop ingelogd wordt (de SP). Tussen deze drie wordt gecommuniceerd via SAML berichten. In een SAML-trace worden deze SAML berichten allemaal bijgehouden. Hierdoor is heel precies te detecteren wanneer en bij welke partij het inloggen fout loopt.

Tools voor het inzichtelijk vastleggen van SAML berichten zijn beschikbaar in twee browsers: Mozilla Firefox en Google Chrome. Hieronder staat voor beide een handleiding, echter is momenteel enkel de tracer van Firefox in staat een bruikbare file te produceren voor probleem analyse.

Privacy en veiligheid

Een SAML-trace bevat waardevolle informatie: voor een gebruiker of de helpdesk om te achterhalen wat er gebeurt tijdens het inloggen, maar bij verkeerd gebruik ook voor een kwaadwillende. Sessie cookies en informatie die door de gebruiker gesubmit wordt in de browser, waaronder username en passwords, worden door de SAML-tracer verzameld. Daarnaast kan er nog privacygevoelige informatie, die met de attributen worden meegezonden (zoals naam van de instelling en e-mailadres), worden opgeslagen. De inhoud van een SAML-trace moet daarom behandeld worden als gevoelige informatie.

De Firefox plugin heeft mogelijkheden deze waardes te maskeren of te verwijderen. De Chrome plugin heeft deze nog niet en is daarom alleen geschikt voor eigen gebruik.

Firefox - SAML tracer

Export-functie tijdelijk afwezig

Vanwege de lancering van Firefox 57 moesten de ontwikkelaars de SAML-tracer herschrijven. De kern-functionaliteit is ondertussen klaar, maar een export-functie was tijdelijk afwezig. Update de SAML trace plugin naar de laatste versie indien de export functie niet aanwezig is.

SAML-tracer is een Firefox extensie die, nadat deze is geactiveerd, al het HTTP verkeer tussen de browser en het internet verzamelt. SAML wordt hier ook mee verzonden, en is zichtbaar te maken door op de SAML tab te klikken bij HTTP GET en HTTP POST berichten die SAML bevatten.

Met SAML-tracer kun je alle berichten die je hebt vastgelegd, de trace, opslaan naar een bestand. Deze bestanden zijn ook weer in te laden in SAML-tracer om later nog een keer te bekijken. Wanneer het op de standaard manier niet lukt om te achterhalen waarom het inloggen via SURFconext niet goed verloopt, kan SURFconext support vragen om zo een trace op te sturen zodat deze nader kan worden onderzocht.

Installatie

Als je de SAML-Tracer wilt downloaden, moet je een aantal stappen doorlopen:

  1. Open Firefox.
  2. Browse naar https://addons.mozilla.org/nl/firefox/addon/saml-tracer/ en klik op "+ Add to Firefox"
  3. Geef FireFox toestemming om de plugin te installeren.

Gebruik

Voor het vastleggen van een trace:

  1. Open SAML-tracer. Deze is te vinden in het "hamburger menu" () rechts in de urlbalk, en ook in het "Tools"-menu (Windows en Linux) of "Extra"-menu (MacOS).
  2. Er verschijnt een window die niet gevuld is of wordt. Klik op een willekeurge plek in dit scherm op de rechter muisknop. Er verschijnt een scherm met een log.
  3. Ga naar de dienst waar je wil inloggen
  4. Probeer in te loggen
  5. Exporteer de trace nadat het inloggen is afgerond

Zolang het SAML-tracervenster open is worden alle HTTP-berichten vastgelegd. Het is dus belangrijk om de SAML-trace te laten lopen van voor het inloggen, tot het punt dat het inlogproces beëindigd is. 

Exporteren van een trace

Als je een trace hebt gemaakt, sla deze dan op. Doorloop hiervoor de volgende stappen:

  1. Klik op de 'Export'-knop in de werkbalk van het 'SAML tracer'-venster.
  2. Selecteer 'Mask values', zie ook "Privacy en waardes verhullen"
  3. Klik op 'Export'.
  4. Geef het bestand een naam en een plek en sla het bestand op.
  5. Mail het bestand met de output van de SAML-tracer naar support@surfconext.nl

Privacy en waardes verhullen

Omdat het niet te makkelijk te maken voor een gebruiker deze informatie onbedoeld te lekken biedt de SAML tracer de mogelijkheid bij het opslaan informatie in meer of mindere mate te verwijderen. Er zijn 3 opties:

  • None - de trace wordt onveranderd omgeslagen, waardes worden niet gemaskeerd;
  • Mask values - vervang de cookies en POST variabelen door een SHA-1 hash van de waarde. Deze optie maakt de waarde moeilijk leesbaar. Dit is de default optie;
  • Remove values - verwijder cookies en POST variabelen. De inhoud van SAML berichten wordt bewaard. Een SAML bericht is gevoelig daar waar het een “IdP initated” login betreft. Bij dit type bericht wordt een cookie nog wel bewaard. Geldigheid is wel beperkt, typisch 5 min, waardoor een aanvaller maar korte tijd gebruik kan maken van de gestolen data.

Chrome - SAML Chrome Panel

LET OP - stuur ons het resultaat niet toe

SAML Chrome Panel extensie is vergelijkbaar met de Firefox SAML-tracer. Echter is hier geen manier om privacy gevoelige gegevens zoals gebruikersnaam en wachtwoord te verwijderen uit de trace. Daarom is deze tool alleen geschikt voor eigen gebruik en dient men voorzichtig om te gaan met opgeslagen traces. Gelieve deze traces dus niet naar ons op te sturen.

Installatie

Om de SAML Chrome Panel extensie te installeren moet je de volgende stappen doorlopen

  1. Open Chrome
  2. Browse naar de SAML Chrome Panel extensie in de Chrome webstore
  3. Voeg de extentsie toe aan Chrome

Vastleggen van een SAML trace

  1. Open Chrome Developer Tools. Shortkeys: windows (f12, ctrl-shift-i), mac (cmd-opt-i)
  2. Selecteer de 'SAML Chrome' tab.
  3. Ga naar de dienst die je wil bezoeken en probeer in te loggen
  4. De SAML berichten zijn zichtbaar in de 'SAML Chrome' tab
  • No labels