0

我们使用 SimpleSAMLphp 作为 IdP 端的 SAML 实现。有一个 SP 配置为通过 IdP 对用户进行身份验证。我的问题是关于注销过程。当用户从 SP 注销时,与 IdP 的会话仍然存在。如果我再次尝试登录 SP,它会使用当前会话到 IdP 并且不请求凭据。如何从 IdP 中注销用户?我知道我可以配置SingleLogoutService,但是SP不支持。simpleSAMLphp 是否提供用户友好的注销页面?最佳实践是什么?

4

1 回答 1

1

如果 SP 不支持 SLO,那么您就是 SOL。对不起。无法抗拒。

不过说真的……没有多少 SP 支持 SLO。这是有原因的——只需要一个 SP 不支持它,或者无法处理 SLO 请求,它就会“破坏链条”。

如果 SP 支持在注销后将用户重定向到页面,您可以将其配置为重定向到 IdP 的身份验证方法的注销页面以使该令牌无效......但就在 IdP 本身破坏实际会话而言,最好的方法处理它是使它成为一个短暂的会话(强制重新验证身份验证服务的会话)。

最终,确保你想要支持注销请求(超出浏览器会话)。

于 2013-11-27T01:32:10.213 回答