Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

--- guide_pubbliche:autenticazione_shib_mfa [2026/01/19 11:40] – riccardo.cappone_unipr.it
+++ guide_pubbliche:autenticazione_shib_mfa [2026/04/13 12:01] (versione attuale) – [Tempistiche attualmente configurate (valori provvisori)] riccardo.cappone_unipr.it
@@ Linea 122: / Linea 122: @@
 In attesa della definizione dei valori definitivi, l’IdP utilizza i seguenti timeout:
-  * **idp.authn.defaultTimeout = 4 ore**
+  * **idp.authn.defaultTimeout = 24 ore**
 Se per 4 ore nessuno SP contatta l’IdP, la precedente autenticazione non può essere riutilizzata → nuovo login EntraID.
-  * **idp.authn.defaultLifetime = 8 ore**
+  * **idp.authn.defaultLifetime = 7 giorni**
 Durata massima assoluta dell’ultima autenticazione valida.
-  * **idp.session.timeout = 8 ore**
+  * **idp.session.timeout = 7 giorni**
 Durata massima della sessione IdP, misurata dall’ultimo utilizzo (sliding window).
 Obiettivo: ridurre la frequenza delle autenticazioni verso EntraID mantenendo un adeguato livello di sicurezza.
@@ Linea 139: / Linea 139: @@
 •	Tipo: Duration\\
 •	Valore originale: PT60M (60 minuti)\\
-•	Nuovo valore: PT8H (8 ore)\\
+•	Nuovo valore: P7D (7 giorni)\\
 •	Significato:
 È la durata massima di una sessione IdP, indipendentemente dall'attività dell’utente.
-Anche se l’utente rimane attivo, dopo 8 ore la sessione viene comunque chiusa e servirà una nuova autenticazione.\\
+Anche se l’utente rimane attivo, dopo 7 giorni la sessione viene comunque chiusa e servirà una nuova autenticazione.\\
-•	In parole semplici: “La sessione IdP dura al massimo 8 ore.”
+•	In parole semplici: “La sessione IdP dura al massimo 7 giorni.”
 **2. idp.authn.defaultLifetime**\\
 •	Tipo: Duration\\
 •	Valore originale: PT60M\\
-•	Nuovo valore: PT8H\\
+•	Nuovo valore: P7D\\
 •	Significato:
 È il periodo massimo in cui si può riusare un’autenticazione preesistente (un "previous authentication flow").
 Conta dal momento in cui quell’autenticazione viene usata per la prima volta.\\
-•	In parole semplici: “Per 8 ore dalla prima autenticazione, posso riutilizzare quella login senza rifarla.”
+•	In parole semplici: “Per 7 giorni dalla prima autenticazione, posso riutilizzare quella login senza rifarla.”
 **3. idp.authn.defaultTimeout**\\
 •	Tipo: Duration\\
 •	Valore originale: PT30M\\
-•	Nuovo valore: PT4H\\
+•	Nuovo valore: PT24H\\
 •	Significato:
 È il timeout di inattività relativo alla possibilità di riutilizzare un’autenticazione precedente.
-Se l’utente rimane inattivo per 4 ore, la vecchia autenticazione non può più essere riutilizzata.\\
+Se l’utente rimane inattivo per 24 ore, la vecchia autenticazione non può più essere riutilizzata.\\
-•	In parole semplici: “Se sto fermo per più di 4 ore, devo rifare l’autenticazione.”
+•	In parole semplici: “Se sto fermo per più di 24 ore, devo rifare l’autenticazione.”
 Tabella riepilogativa:
 ^ Parametro                  ^ Valor precedente  ^ Nuovo valore  ^ Significato pratico                                                                ^ Tipo di timeout                 ^
-| idp.session.timeout        | 60 min            | 8 h           | Durata massima della sessione IdP                                                  | Assoluto (hard limit)           |
+| idp.session.timeout        | 60 min            | 7 g           | Durata massima della sessione IdP                                                  | Assoluto (hard limit)           |
-| idp.authn.defaultLifetime  | 60 min            | 8 h           | Durata massima per riusare l’autenticazione valida                                 | Assoluto (sull’autenticazione)  |
+| idp.authn.defaultLifetime  | 60 min            | 7 g           | Durata massima per riusare l’autenticazione valida                                 | Assoluto (sull’autenticazione)  |
-| idp.authn.defaultTimeout   | 30 min            | 4 h           | Tempo massimo di inattività prima che l’autenticazione non sia più riutilizzabile  | Inattività                      |
+| idp.authn.defaultTimeout   | 30 min            | 24 h           | Tempo massimo di inattività prima che l’autenticazione non sia più riutilizzabile  | Inattività                      |
@@ Linea 176: / Linea 176: @@
 Se l’utente non accede ad alcun servizio per un tempo superiore del valore impostato (es. 4 ore), quando torna all'IdP, deve rifare il processo di autenticazione: nel nostro caso, viene rilanciata la delega verso EntraID con forceAuthn, che richiede nuovamente credenziali/MFA.
-Questo parametro non chiude la sessione IdP (che dura complessivamente 8 ore), ma limita quanto a lungo è riusabile un singolo “risultato di autenticazione” pregresso.\\
+Questo parametro non chiude la sessione IdP (che dura complessivamente 7 giorni), ma limita quanto a lungo è riusabile un singolo “risultato di autenticazione” pregresso.\\
 Aumentare il defaultTimeout significa ridurre la frequenza delle ri-autenticazioni verso EntraID dopo periodi di inattività, migliorando l’esperienza utente, a fronte di un’estensione della finestra di rischio in cui la stessa autenticazione può essere riutilizzata senza nuovo challenge.
@@ Linea 209: / Linea 209: @@
 Avendo impostato attualmente\\
-  * idp.authn.defaultTimeout = 4 ore
+  * idp.authn.defaultTimeout = 24 ore
-  * idp.authn.defaultLifetime = 8 ore
+  * idp.authn.defaultLifetime = 7 giorni
-  * idp.session.timeout = 8 ore
+  * idp.session.timeout = 7 giorni
 Se l’utente usa servizi periodicamente, oppure passa da uno SP a un altro entro 4 ore, l’IdP potrà riutilizzare la precedente autenticazione → SSO fluido, nessuna nuova richiesta di login.
-Se passa più di 4 ore senza che lo SP contatti l’IdP (cioè senza accedere a un nuovo servizio protetto), l’IdP dovrà ripetere l’autenticazione verso EntraID.
+Se passa più di 24 ore senza che lo SP contatti l’IdP (cioè senza accedere a un nuovo servizio protetto), l’IdP dovrà ripetere l’autenticazione verso EntraID.
-La sessione complessiva dell’utente dura comunque massimo 8 ore.
+La sessione complessiva dell’utente dura comunque massimo 7 giorni.
 ==== Diagramma tempistiche di sessione SP e IdP con defaultTimeout e defaultLifetime ====
@@ Linea 251: / Linea 251: @@
-==== Scenari di autenticazione  ====
-**Scenario 1: Attività Continua (Effetto Sliding Window)**
-  * 08:00: Effettui il login su SP-A. L'IdP crea la sessione.
-    * Scadenza per inattività: 12:00 (tra 4 ore).
-    * Scadenza assoluta: 16:00 (tra 8 ore).
-  * 11:00: Accedi a SP-B. Questa attività fa "scivolare" (slide) la finestra di inattività in avanti.
-    * Nuova scadenza per inattività: 15:00 (4 ore dopo le 11:00).
-    * Scadenza assoluta: Resta invariata alle 16:00.
-  * Risultato: Poiché sei rimasto attivo, il limite di inattività non viene mai raggiunto. Verrai però obbligato a riautenticarti alle 16:00 a causa del limite defaultLifetime.
-**Scenario 2: Scadenza per Inattività (Finestra Mancata)**
-  * 08:00: Effettui il login su SP-A.
-    * Scadenza per inattività: 12:00.
-    * 12:01: Tenti di accedere a SP-C.
-  * Risultato: Anche se sei ancora entro l'intervallo di vita assoluta (8 ore), sei rimasto inattivo per più di 4 ore. Il parametro defaultTimeout scatta e devi reinserire le credenziali.
-**Scenario 3: Indipendenza tra IdP e SP**
-  * 08:00: Effettui il login su SP-A.
-    * 08:00 – 13:00: Lavori esclusivamente dentro SP-A, cliccando link e salvando dati ogni 10 minuti.
-    * 13:05: Provi ad accedere a SP-B per la prima volta nella giornata.
-  * Risultato: Dovrai loggarti di nuovo. Nonostante tu sia stato attivo sul sito dell'SP, non hai mai interagito con l'IdP in quell'arco di 5 ore. La finestra di inattività di 4 ore dell'IdP è scaduta perché l'attività sull'SP non aggiorna automaticamente la sessione dell'IdP.