- Google Chrome アップデートによる Extic の影響について
- 2020年1月31日
2月リリース予定の Google Chrome アップデートによる Cookie 属性の変更の影響についてお知らせします。
概要
Chrome のバージョンが 80 に上がることにより、ドメインが異なるサイトにアクセスする際、SameSite が設定されていない Cookie に送信制約が追加されます。
- バージョンアップ前:Cookie が送信されます。
- バージョンアップ後:HTTP メソッドが POST の場合、Cookie は送信されませ ん。
Extic では認証後に認証 Cookie を発行しておりますが、SameSite は付与しておりません。
Chrome 80 に伴う影響
SSO 連携対象となるサービス(以降 SP)が、SAML Request を POST メソッドで送信している場合、 ブラウザから Extic に認証 Cookie が送信されないため、認証済であっても再度ログイン画面が表示されます。
例) Extic にログイン済のユーザーが、以下 SP にアクセスしたとすると、
- SP1(SAML Request を GET で送信)
- SP2(SAML Request を POST で送信)
SP1 からは認証 Cookie が Extic に送信されるため認証操作なく利用できます(通常の SSO 動作)。
一方、SP2 からは認証 Cookie が Extic に送信されないため、未ログインユーザーと見なされ、再度認証操作が必要となります。
Extic における対応
今回の仕様変更は、セキュリティ向上を意図したものであり、今後、Mozilla FireFox や Microsoft Edge も同様の Cookie 送信制約が追加される予定となっています。
上記のような潮流を踏まえ、各 SP がブラウザ仕様に基づいて Cookie を扱うことがあるべき姿であると考え、現時点では本件を回避する(旧ブラウザと同様の動作となるような) Extic での改修は予定しておりません。
恐れ入りますが、再認証が求められる SP については、SP 事業者に、SAML Request の送信仕様をお問い合わせいただきますようお願いいたします。