0

我目前正在开发一个小型 ASP.NET 项目,该项目涉及针对第 3 方身份提供者对用户进行身份验证。当前登录有效,注销无效。

我正在使用WIF SAML 2.0 扩展来处理 SAML 协议。

第 3 方 IdP不需要来自服务提供商的签名 LogoutRequest。但是,默认情况下,WIF SAML 扩展要求我签署此类请求。

问题:

  • 有没有办法禁用 LogoutRequests 的签名?

另一个库 OpenAM 在其扩展的服务提供者元数据中有一个有趣的属性:

<Attribute name="wantLogoutRequestSigned">
        <Value>false</Value>
</Attribute>

WIF 中是否有类似的属性可用?

任何指针将不胜感激。

4

1 回答 1

0

因此,假设这是 SP-Init SLO,并且您使用 POST 或 Redirect 绑定将 LogoutRequest 发送到 IDP,SLO 配置文件表明您必须对请求进行数字签名。参见第 4.4.3.1 节,第 1223-1224 行:

“如果使用 HTTP POST 或重定向绑定,则必须对消息进行签名。”

不确定 WIF 是否允许您为 SLO 生成不合规消息。我猜 OpenAM 设置仅用于测试目的(或 SOAP 绑定),而 WIF 没有类似的选项。

我知道我没有直接回答你的问题,但无论如何 HTH - Ian

于 2012-05-23T15:03:00.733 回答