概要

Chrome のバージョンが 80 に上がることにより、ドメインが異なるサイトにアクセスする際、SameSite が設定されていない Cookie に送信制約が追加されます。

• バージョンアップ前：Cookie が送信されます。
• バージョンアップ後：HTTP メソッドが POST の場合、Cookie は送信されませ ん。

Extic では認証後に認証 Cookie を発行しておりますが、SameSite は付与しておりません。

Chrome 80 に伴う影響

SSO 連携対象となるサービス（以降 SP）が、SAML Request を POST メソッドで送信している場合、 ブラウザから Extic に認証 Cookie が送信されないため、認証済であっても再度ログイン画面が表示されます。

例) Extic にログイン済のユーザーが、以下 SP にアクセスしたとすると、

• SP1（SAML Request を GET で送信）
• SP2（SAML Request を POST で送信）

SP1 からは認証 Cookie が Extic に送信されるため認証操作なく利用できます（通常の SSO 動作）。
一方、SP2 からは認証 Cookie が Extic に送信されないため、未ログインユーザーと見なされ、再度認証操作が必要となります。

Extic における対応

今回の仕様変更は、セキュリティ向上を意図したものであり、今後、Mozilla FireFox や Microsoft Edge も同様の Cookie 送信制約が追加される予定となっています。

上記のような潮流を踏まえ、各 SP がブラウザ仕様に基づいて Cookie を扱うことがあるべき姿であると考え、現時点では本件を回避する（旧ブラウザと同様の動作となるような） Extic での改修は予定しておりません。

恐れ入りますが、再認証が求められる SP については、SP 事業者に、SAML Request の送信仕様をお問い合わせいただきますようお願いいたします。