Bij inloggen met SURFconext zijn verschillende systemen betrokken: het authenticatie systeem van de instelling (de IdP), SURFconext en de service waarop ingelogd wordt (de SP). Tussen deze drie wordt gecommuniceerd via SAML berichten. In een SAML-trace worden deze SAML berichten allemaal bijgehouden. Hierdoor is heel precies te detecteren wanneer en bij welke partij het inloggen fout loopt.
Tools voor het inzichtelijk vastleggen van SAML berichten zijn beschikbaar in drie browsers: Mozilla Firefox, Google Chrome en Microsoft Edge. Hieronder staat voor beide een handleiding. Voor Apple Safari is er momenteel helaas geen tool beschikbaar.
SAML-tracer
SAML-tracer is een browserextensie die, nadat deze is geactiveerd, al het HTTP verkeer tussen de browser en het internet verzamelt. SAML wordt hier ook mee verzonden, en is zichtbaar te maken door op de SAML tab te klikken bij HTTP GET en HTTP POST berichten die SAML bevatten.
Met SAML-tracer kun je alle berichten die je hebt vastgelegd, de trace, opslaan naar een bestand. Deze bestanden zijn ook weer in te laden in SAML-tracer om later nog een keer te bekijken. Wanneer het op de standaard manier niet lukt om te achterhalen waarom het inloggen via SURFconext niet goed verloopt, kan SURFconext support vragen om zo een trace op te sturen zodat deze nader kan worden onderzocht.
Installatie
Als je de SAML-Tracer wilt downloaden, moet je een aantal stappen doorlopen:
| Stap | Actie | Afbeelding |
|---|---|---|
| 1 | Open je browser. | |
| 2 | Navigeer naar de extensiewinkel van je browser: |
|
| 3 | Klik op "Toevoegen aan Firefox/Chrome/Edge" |
|
| 4 | Klik op "Add" om de plugin toe te voegen. |
|
| 5 | Alleen voor Firefox: Vink het vakje aan zodat de Plugin ook in een privé-venster werkt. Klik hierna op "Okay, Got it" om te bevestigen. |
|
Gebruik
Voor het vastleggen van een trace:
| Stap | Actie | Afbeelding |
|---|---|---|
| 1 | Open de SAML-tracer. Deze is te vinden rechtsboven in de browser naast het "hamburger menu" (☰) rechts naast de urlbalk. Soms is de extensie "verstopt" in het extensie-menu (zie hiernaast) |
|
| 2 | Er opent een nieuw scherm en de trace begint direct te lopen. Klik eventueel linksboven op "X Clear" om de trace te resetten voordat je doorgaat naar de volgende stap. |
|
| 3 | Ga naar de dienst waar je wil inloggen. | |
| 4 | Probeer in te loggen. | |
| 5 | Volg de stappen onder het kopje "Exporteren van een trace" om de trace veilig te exporteren nadat het inloggen is afgerond. |
Zolang het SAML-tracervenster open is worden alle HTTP-berichten vastgelegd. Het is dus belangrijk om de SAML-trace te laten lopen van voor het inloggen, tot het punt dat het inlogproces beëindigd is.
Exporteren van een trace
Als je een trace hebt gemaakt, sla deze dan op. Doorloop hiervoor de volgende stappen:
| Stap | Actie | Afbeelding |
|---|---|---|
| 1 | Klik op de 'Export'-knop in de werkbalk van de 'Saml tracer'-venster. |
|
| 2 | Selecteer 'Mask Values', om gevoelige informatie uit de trace te verhullen. Zie ook: "Privacy en waardes verhullen". |
|
| 3 | Klik op Export. | |
| 4 | Geef het bestand een naam en een plek, en sla het bestand op. | |
| 5 | Mail het bestand naar support@surfconext.nl. |
Privacy en veiligheid
Een SAML-trace bevat waardevolle informatie: voor een gebruiker of de helpdesk om te achterhalen wat er gebeurt tijdens het inloggen, maar bij verkeerd gebruik ook voor een kwaadwillende. Sessie cookies en informatie die door de gebruiker gesubmit wordt in de browser, waaronder username en passwords, worden door de SAML-tracer verzameld. Daarnaast kan er nog privacygevoelige informatie, die met de attributen worden meegezonden (zoals naam van de instelling en e-mailadres), worden opgeslagen. De inhoud van een SAML-trace moet daarom behandeld worden als gevoelige informatie.
De plugins hebben de mogelijkheden deze waardes te maskeren of te verwijderen.
Privacy en waardes verhullen
Omdat het niet te makkelijk te maken voor een gebruiker deze informatie onbedoeld te lekken biedt de SAML tracer de mogelijkheid bij het opslaan informatie in meer of mindere mate te verwijderen. Er zijn 3 opties:
- None - de trace wordt onveranderd omgeslagen, waardes worden niet gemaskeerd;
- Mask values - vervang de cookies en POST variabelen door een SHA-1 hash van de waarde. Deze optie maakt de waarde moeilijk leesbaar. Dit is de default optie;
- Remove values - verwijder cookies en POST variabelen. De inhoud van SAML berichten wordt bewaard. Een SAML bericht is gevoelig daar waar het een “IdP initated” login betreft. Bij dit type bericht wordt een cookie nog wel bewaard. Geldigheid is wel beperkt, typisch 5 min, waardoor een aanvaller maar korte tijd gebruik kan maken van de gestolen data.