Bij inloggen met SURFconext zijn verschillende systemen betrokken: het authenticatiesysteem van de instelling (de IdP), SURFconext en de service waarop ingelogd wordt (de SP). Tussen deze drie wordt gecommuniceerd via SAML-berichten. In een SAML-trace worden deze SAML-berichten opgeslagen. Hierdoor is heel precies te detecteren wanneer en bij welke partij het inloggen fout loopt.
In de volgende browsers zijn tools beschikbaar om een SAML-trace te maken:
- Mozilla Firefox
- Google Chrome
- Microsoft Edge.
Voor Apple Safari is er momenteel helaas geen tool beschikbaar.
Over de SAML-tracer
SAML-tracer is een browserextensie die al het HTTP-verkeer tussen de browser en het internet verzamelt. SAML wordt hier ook mee verzonden, en is zichtbaar te maken door op de SAML tab te klikken bij HTTP GET en HTTP POST berichten die SAML bevatten.
Met SAML-tracer kun je alle berichten die je hebt vastgelegd, de trace, opslaan naar een bestand. Deze kun je bijvoorbeeld delen met SURFconext Support, zodat zij kunnen helpen een storing te traceren.
SAML-tracer installeren
| Stap | Actie | Afbeelding |
|---|---|---|
| 1 | Open je browser. | |
| 2 | Navigeer naar de extensiewinkel van je browser: | |
| 3 | Klik op "Toevoegen aan Firefox/Chrome/Edge (of |
|
| 4 | Klik op Add om de plugin toe te voegen. |
|
| 5 | Alleen voor Firefox:
|
|
Een SAML-trace maken
| Stap | Actie | Afbeelding |
|---|---|---|
| 1 | Open de SAML-tracer. Deze is te vinden rechtsboven in de browser naast het hamburger menu (☰) rechts naast de url-balk. Soms is de extensie verstopt in het extensie-menu (zie hiernaast). |
|
| 2 | Er opent een nieuw scherm en de trace begint direct te lopen. Klik eventueel linksboven op Clear om de trace te resetten voordat je doorgaat naar de volgende stap. |
|
| 3 | Ga naar de dienst waar je wil inloggen. | |
| 4 | Probeer in te loggen. | |
| 5 | Klik op Pause nadat de inlogpoging is afgerond |
Een SAML-trace exporteren
Als je een trace hebt gemaakt, sla deze dan op. Doorloop hiervoor de volgende stappen:
| Stap | Actie | Afbeelding |
|---|---|---|
| 1 | Klik op de Export in de werkbalk van de SAML-tracer |
|
| 2 | Selecteer Mask Values, om gevoelige informatie uit de trace te verhullen. Zie ook: Privacy en waardes verhullen. |
|
| 3 | Klik op Export. | |
| 4 | Geef het bestand een naam en een plek, en sla het bestand op. | |
| 5 | Mail het bestand naar support@surfconext.nl. |
Privacy en veiligheid
Een SAML-trace bevat waardevolle informatie: voor een gebruiker of de helpdesk om te achterhalen wat er gebeurt tijdens het inloggen, maar bij verkeerd gebruik ook voor een kwaadwillende. Sessie cookies en informatie die door de gebruiker gesubmit wordt in de browser, waaronder username en passwords, worden door de SAML-tracer verzameld. Daarnaast kan er nog privacygevoelige informatie, die met de attributen worden meegezonden (zoals naam van de instelling en e-mailadres), worden opgeslagen. De inhoud van een SAML-trace moet daarom behandeld worden als gevoelige informatie.
De plugins hebben de mogelijkheden deze waardes te maskeren of te verwijderen.
Privacy en waardes verhullen
Omdat het niet te makkelijk te maken voor een gebruiker deze informatie onbedoeld te lekken biedt de SAML tracer de mogelijkheid bij het opslaan informatie in meer of mindere mate te verwijderen. Er zijn 3 opties:
- None - de trace wordt onveranderd omgeslagen, waardes worden niet gemaskeerd;
- Mask values - vervang de cookies en POST variabelen door een SHA-1 hash van de waarde. Deze optie maakt de waarde moeilijk leesbaar. Dit is de default optie;
- Remove values - verwijder cookies en POST variabelen. De inhoud van SAML berichten wordt bewaard. Een SAML bericht is gevoelig daar waar het een “IdP initated” login betreft. Bij dit type bericht wordt een cookie nog wel bewaard. Geldigheid is wel beperkt, typisch 5 min, waardoor een aanvaller maar korte tijd gebruik kan maken van de gestolen data.