サポート

 
Google Chrome アップデートによる Extic の影響について
2020年1月31日

2月リリース予定の Google Chrome アップデートによる Cookie 属性の変更の影響についてお知らせします。


概要

Chrome のバージョンが 80 に上がることにより、ドメインが異なるサイトにアクセスする際、SameSite が設定されていない Cookie に送信制約が追加されます。

  • バージョンアップ前:Cookie が送信されます。
  • バージョンアップ後:HTTP メソッドが POST の場合、Cookie は送信されませ ん。

Extic では認証後に認証 Cookie を発行しておりますが、SameSite は付与しておりません。


Chrome 80 に伴う影響

SSO 連携対象となるサービス(以降 SP)が、SAML Request をPOST メソッドで送信している場合、 ブラウザから Extic に認証 Cookie が送信されないため、認証済であっても再度ログイン画面が表示されます。

例) Extic にログイン済のユーザーが、以下 SP にアクセスしたとすると、

  • SP1(SAML Request を GET で送信)
  • SP2(SAML Request を POST で送信)

SP1 からは認証 Cookie が Extic に送信されるため認証操作なく利用できます(通常の SSO 動作)。
一方、SP2 からは認証 Cookie が Extic に送信されないため、未ログインユーザーと見なされ、再度認証操作が必要となります。


Extic における対応

今回の仕様変更は、セキュリティ向上を意図したものであり、今後、Mozilla FireFox や Microsoft Edge も同様の Cookie 送信制約が追加される予定となっています。

上記のような潮流を踏まえ、各 SP がブラウザ仕様に基づいてCookie を扱うことがあるべき姿であると考え、現時点では本件を回避する(旧ブラウザと同様の動作となるような)Extic での改修は予定しておりません。

恐れ入りますが、再認証が求められる SP については、SP 事業者に、SAML Request の送信仕様をお問い合わせ頂きますようお願いいたします。