Gestione delle sessioni con identità esterne

Questo articolo spiega come gestire le sessioni con Identity-Aware Proxy (IAP) se utilizzi identità esterne per l'autenticazione.

Aggiornamento delle sessioni

Le sessioni di Identity Platform sono valide per un'ora. Quando una sessione scade, l'app deve reindirizzare alla pagina di autenticazione. La pagina di autenticazione contiene il token di aggiornamento di Identity Platform. Finché le credenziali dell'utente sono valide, puoi utilizzarle per la riautenticazione senza mostrare alcuna UI.

Se l'utente ha modificato di recente l'indirizzo email o la password o si è verificata un'altra azione che ha revocato il token, dovrà completare di nuovo il flusso di autenticazione.

Gestione delle richieste non AJAX

Le richieste non AJAX vengono gestite automaticamente utilizzando un reindirizzamento dell'applicazione, presupponendo che la pagina di autenticazione sia configurata correttamente.

Gestione delle richieste AJAX

Chrome e altri browser stanno eliminando gradualmente i cookie di terze parti. Le indicazioni per l'invio di richieste AJAX in questa pagina non funzioneranno se i cookie di terze parti sono disattivati. Tuttavia, le indicazioni fornite rimarranno funzionali se sia l'origine che la destinazione delle richieste AJAX provengono dallo stesso sito.

Per istruzioni sulla gestione dei cookie di terze parti in Chrome, consulta Eliminare, consentire e gestire i cookie in Chrome.

Se invii una richiesta AJAX con un token scaduto, la richiesta restituirà un codice di stato 401: Unauthorized. Implementa una delle seguenti soluzioni per gestire questo problema:

  • Modifica il codice dell'applicazione per gestire i codici di stato HTTP 401.
  • Aggiungi un iframe all'applicazione in modo che punti al programma di aggiornamento della sessione.
  • Chiedi agli utenti di caricare manualmente il programma di aggiornamento della sessione in una scheda separata.

Se ricevi un codice di stato 302 anziché 401 in risposta alle richieste AJAX, aggiungi un'intestazione X-Requested-With con il valore XMLHttpRequest. In questo modo, IAP viene informato che la richiesta proviene da JavaScript.

Gestione programmatica di HTTP 401

La gestione programmatica dei codici di stato HTTP 401 è il modo consigliato per aggiornare una sessione AJAX. A tal fine:

  1. Aggiorna il codice dell'applicazione per gestire l'errore.

    if (response.status === 401) {
  statusElm.innerHTML = 'Login stale. <input type="button" value="Refresh" onclick="sessionRefreshClicked();"/>';
}

  2. Aggiungi un gestore che apre una finestra per riautenticare l'utente, quindi la chiude al termine della procedura.

    var iapSessionRefreshWindow = null;

function sessionRefreshClicked() {
  if (iapSessionRefreshWindow == null) {
    iapSessionRefreshWindow = window.open("/?gcp-iap-mode=DO_SESSION_REFRESH");
    window.setTimeout(checkSessionRefresh, 500);
  }
  return false;
}

function checkSessionRefresh() {
  if (iapSessionRefreshWindow != null && !iapSessionRefreshWindow.closed) {
    // Attempting to start a new session.
    // XMLHttpRequests is used by the server to identify AJAX requests
    fetch('/favicon.ico', {
          method: "GET",
          credentials: 'include',
          headers: {
              'X-Requested-With': 'XMLHttpRequest'
          }
    .then((response) => {
      // Checking if browser has a session for the requested app
      if (response.status === 401) {
        // No new session detected. Try to get a session again
        window.setTimeout(checkSessionRefresh, 500);
      } else {
        // Session retrieved.
        iapSessionRefreshWindow.close();
        iapSessionRefreshWindow = null;
      }
    })
    });
  } else {
    iapSessionRefreshWindow = null;
  }
}

Utilizzo di un iframe

Se non riesci a gestire HTTP 401 in modo programmatico, la soluzione migliore è aggiungere un iframe all'applicazione che punti al programma di aggiornamento della sessione.

L'utilizzo di un iframe richiede la configurazione di una pagina di accesso personalizzata sullo stesso dominio dell'app web protetta da IAP. In caso contrario, gli utenti riscontreranno errori multiorigine. Per saperne di più sulla configurazione della pagina di accesso, consulta Creazione di una pagina di accesso personalizzata.

Esempio di utilizzo di un iframe:

<iframe src="https://example.com/some/path?gcp-iap-mode=SESSION_REFRESHER" style="width:0;height:0;border:0; border:none;"></iframe>

Caricamento del programma di aggiornamento della sessione

Come ultima risorsa, puoi chiedere agli utenti di caricare manualmente il programma di aggiornamento della sessione. Aggiungi indicazioni all'applicazione o alla relativa documentazione per invitare gli utenti ad aprire il seguente URL in una scheda separata:

https://example.com/some/path?gcp-iap-mode=SESSION_REFRESHER

Uscita degli utenti

Per disconnettere un utente da una risorsa IAP, utilizza il parametro di query ?gcp-iap-mode=GCIP_SIGNOUT. Ad esempio, in un'app App Engine, l'URL ha il seguente aspetto:

https://example.com/some/path?gcp-iap-mode=GCIP_SIGNOUT

Gli utenti verranno reindirizzati alla pagina di accesso dopo la disconnessione.

Per disconnettere un utente da tutte le risorse e le sessioni, reindirizzalo all'URL di autenticazione con la chiave API e mode=signout aggiunti come parametri. Ad esempio:

https://auth.example.com/?apiKey=API-KEY&mode=signout

Gli utenti rimarranno sulla pagina al termine della disconnessione. Valuta la possibilità di implementare il callback completeSignOut() sull'oggetto AuthenticationHandler per fornire all'utente un feedback che indichi che la disconnessione è andata a buon fine.

Passaggio da un tenant all'altro

In alcuni casi, un utente potrebbe voler eseguire l'autenticazione con più tenant per la stessa risorsa IAP. Ad esempio, potrebbe appartenere a più tenant che concedono livelli di accesso diversi e voler passare a un tenant con meno o più privilegi.

Per forzare il riavvio della procedura di selezione del tenant, utilizza ?gcp-iap-mode=CLEAR_LOGIN_COOKIE. Ad esempio, in un'app App Engine, l'URL potrebbe avere il seguente aspetto:

https://PROJECT-ID.appspot.com/some/path?gcp-iap-mode=CLEAR_LOGIN_COOKIE

Passaggi successivi