forceAuthn behavior

[Manolo Garcia Alvarez]

Good day !,

we are facing a strange behavior with our Shibboleth and forceAuth. We have
a Shibboleth 3.1.2 with external authentication with CAS. Both Shibboleth
and CAS session lasts 60 minutes. Due to our SSO needs, a user could have a
CAS session before using Shibboleth, so in some cases a user requests an
SP, that fires a SAML request, CAS replies with a valid session and a SAML
request is generated.

Our problem is caused by this lack of synchrony: A CAS session may expire
much earlier than the Shibboleth session. We have tried to avoid the
problem using the forceAuthn in the SAML Request, but Shibboleth is not
behaving as expected and it's returning a CAS session that's expired.

Is there something that we are doing wrong? Or maybe it's a
misunderstanding of the way that forceAuthn works?

Thanks a lot !

------------------------------
Manolo García
Arquitectura i Sistemes
Universitat Oberta de Catalunya

93 326 (3451) | 689 88 30 93 | mgarciaal at uoc.edu
Parc Mediterrani de la Tecnologia (edifici B3)
Av. Carl Friedrich Gauss, 5.
08860 Castelldefels
[image: Universitat Oberta de Catalunya]
Aquest missatge s'adreça exclusivament a qui va destinat i pot contenir
informació privilegiada o confidencial i dades de caràcter personal, la
difusió de les quals és regulada per la Llei orgànica de protecció de dades
i la Llei de serveis de la societat de la informació. Si no sou la persona
destinatària indicada (o la responsable de lliurar-lo a qui va destinat),
no heu de copiar aquest missatge ni lliurar-lo a tercers per cap concepte.
Si heu rebut aquest missatge per error o l'heu aconseguit per altres
mitjans, us demanem que ens ho comuniqueu immediatament per aquesta mateixa
via i l'elimineu irreversiblement.

Abans d'imprimir aquest missatge electrònic penseu en el medi ambient.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://shibboleth.net/pipermail/users/attachments/20181219/12c4ee5c/attachment.html>