Loading…
Tilbage

Profilbillede

OIOSAML3.JAVA mangler logning af brugerens IP-adresse

Jørgen Gantriis

OIOSAML3.JAVA logger ikke brugerens IP-adresse og SP vil som følge her af ikke kunne overholde logningspolitikken.  (https://digitaliser.dk/resource/3126701/)

Det gælder for flere typer af logrecords, men som eksempel kan nævnes case BSA6 - SP validerer SAML assertion, som er SP og dermed OIOSAMLs ansvar. Her er første felt i listen over data, som skal logges: "Brugerens IP adresse"

Ingen vil med den eksisterende kode kunne skrive under på at integrationstest-rapportens obligatoriske test IT-LOG-1 er gennemført og bestået.

Ved korrektion af koden vil jeg anbefale, at man tillige logger brugerens source port, idet logningsbekendtgørelsens §5 anbefaler at logge såvel "afsendende IP-adresse" som "afsendende portnummer".

For at få korrekt IP-adresse og port logget anbefales det, at modulet tillige understøtter at tage disse informationer fra http-headers opsat af foranstillede loadbalancere og eller proxy-servere. (X-Forwarded-For & X-Forwarded-For-Port).

Med venlig hilsen
Jørgen Gantriis

Hej Jørgen,

Tak for din værdifulde indsigt i denne del af løsningen. Jeg tilføjer det til opgaven vedr. logging, således det kommer med der.

Med venlig hilsen
Morten D. Bech

ændret af Morten D. Bech (14.06.2021)