When transitioning to the intra-mart Accel Platform from an external site, it might result in an unauthenticated state.

 
Due to a change in browser specifications, the handling of cookies for cross-domain access has changed.

Starting with version 80, Google Chrome handles cookies that do not have the SameSite attribute declared as SameSite=Lax.
When transitioning from an external site, cookies that do not have the SameSite attribute declared will not be sent.

The same support has been implemented for Microsoft Edge starting with version 86.

The following events will occur due to this change in browser specifications.

[Event 1]
When using a browser that has completed intra-mart Accel Platform authentication in advance to transition from a link on an external site to an intra-mart Accel Platform page that requires authentication, the page will be accessed in an unauthorized state.
When transitioning from a link on an external site, the session cannot be maintained because cookies are not sent.

[Event 2]
 When using the function (samlsso) which uses SAML authentication to transition to a page which requires arbitrary authentication without going through the intra-mart Accel Platform login screen, the screen will transition to the HOME screen instead of the corresponding page.
During SAML authentication, authentication is performed on the login screen of the IdP (external site).
After authentication using the IdP, the screen will transition to the intra-mart Accel Platform and automatic login will be performed.
In this case, the target page information (URL) is stored in the session in advance, but the target page information cannot be retrieved because cookies are not sent.
The screen transitions to the HOME screen because the target page information cannot be retrieved.

[Remedy]
Grant the SameSite=None; Secure attribute to cookies used by the intra-mart Accel Platform to send cookies when transitioning from an external site.
It is also necessary to use https to access the intra-mart Accel Platform.

Specifically, the following actions are required.

When using Resin 4.0.64 or later and Resin session management

Add the following tags (cookie-same-site and cookie-secure) to resin-web.xml.    

  <web-app>
    <session-config>
       ・・・・
      <cookie-same-site>None</cookie-same-site>
      <cookie-secure>true</cookie-secure>
       ・・・・
    </session-config>
  </web-app>

When using Resin 4.0.63 or earlier or “session management module”

    Please refer to the following CookBook for support.
    https://dev.intra-mart.jp/cookbook-205087/

Keywords:
Security, SameSite, Cookie, SAML, samlsso, unauthorized, external site, cross-domain, session, session management module, Resin, Google Chrome, Microsoft Edge

-- Target ----------------------------------------------------------
iAP/Accel Platform/All Updates
----------------------------------------------------------------------


FAQID:1142
Was this article helpful?
0 out of 0 found this helpful
Powered by Zendesk