当我使用WS-Federation协议并从我的应用程序(服务提供者)注销时http://pingserver.com:Port/idp/prp.wsf?wa=wsignout1.0,我会被重定向到 Ping 提供的 IdP 注销模板。
但是,当我使用 SAML 协议并从我的应用程序(服务提供商)中注销时http://pingserver.com:Port/idp/SLO.saml2?SAMLRequest=,我会被重定向到 SP 注销页面。
我在 Ping 端使用相同的 IdP 适配器,那么为什么会有不同的行为。Ping 不应该以同样的方式处理最后一个动作吗?
原因在于标准之间的差异。
根据WS-Federation 标准(第 13.2.4.1 章),端点应支持具有以下行为的参数wreply :
此 OPTIONAL 参数指定清理(注销)完成后要返回的 URL。如果未指定此参数,则在清理之后,GET 通过返回任何特定于领域的数据来完成,例如指示清理已完成领域的字符串。
因此,当未指定时,Ping 会提供可自定义的默认注销页面 (sourceid-wsfed-idp-signout-cleanuptemplate.html)。
SAML 2.0 明确定义在 SP 初始化的 SLO 中,用户通过 SingleLogout 消息被重定向回 SP,因此 Ping 遵循这一点。