我使用 Kentor AuthServices 和 IdentityServer3 对 OneLogin 进行身份验证。当调用注销时,OneLogin 在未签名的响应上使用 SAML 重定向绑定,这会导致 Kentor AuthServices 出现问题。
SAML 配置文件规范第 4.4.3.4 节指出:
如果使用 HTTP POST 或 Redirect 绑定,则必须对消息进行签名。HTTP Artifact 绑定(如果使用)还提供了在取消引用工件时验证响应发布者的替代方法。
此处显示的示例:https ://developers.onelogin.com/saml/examples/logout-response显示了带有重定向绑定的签名。
有没有办法强制 OneLogin 返回签名的注销响应?