作为服务提供商,当我们收到来自 IdP 的 HTTP 重定向注销请求时,文档指出我们应该执行以下操作:
验证注销请求 > 使用户会话无效 > 将注销响应发送回身份提供者。
我们将注销响应重定向回哪个端点?我原以为这将是注销请求的一部分,但事实并非如此。它只是 IdP 单一注销 URL 吗?
问问题
443 次
1 回答
2
通常IDPSSODescriptorIdP 元数据定义了SingleLogoutService每个支持的协议绑定。
例如,摘自SSOCicrle的 IdP 元数据)
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.ssocircle.com:443/sso/IDPSloRedirect/metaAlias/publicidp" ResponseLocation="https://idp.ssocircle.com:443/sso/IDPSloRedirect/metaAlias/publicidp"/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://idp.ssocircle.com:443/sso/IDPSloPost/metaAlias/publicidp" ResponseLocation="https://idp.ssocircle.com:443/sso/IDPSloPost/metaAlias/publicidp"/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.ssocircle.com:443/sso/IDPSloSoap/metaAlias/publicidp"/>
如果您没有收到 IdP 元数据,您需要联系 IdP 管理员并请求该信息。
注意:这取决于使用哪个绑定来发送 LogoutResponse 的 SP 实现。有些使用 IdP 用来发送 LogoutRequest 的相同绑定,有些使用 IdP 元数据中定义的第一个绑定,有些使用指定的绑定。
于 2020-10-01T07:32:41.677 回答