PingFederate 文档指出,您可以配置SP或IDP 单点注销(又名 SLO)。
当用户从他们的浏览器请求“Start-SLO”端点时,用户启动 SLO(即,要么 要么http://<PingFederate Base URL>/sp/startSSO.ping
)http://<PingFederate Base URL>/idp/startSSO.ping
。
我的问题:
- 这不只是名义上的区别吗?
- 归根结底,我们不只是针对端点吗?
- 这个选择对 SLO 流程有任何实质性影响吗?
@Scott T.这里有以下要说的:
如果用户在 IdP 启动 SLO 流程,则可以 - 作为最后一步,用户将被重定向回 /idp/SLO.saml2。事实上,您为注销而重定向到的每个 SP,都将重定向回 IdP 以注销下一个 SP。如果您从 SP 启动 SLO 流程,那么用户最终到达的最后一个位置是该 SP 的 SLO 端点。
事实上,如果 PingFederate 重定向到作为最后一步启动 SLO 的 SP 会很好,但这不是我的经验。
也许我还应该问:
- 您如何指定启动 SLO 的 SP?
编辑:根据@Scott T.'s answer here:
我在这里假设您将 PingFederate 作为 IdP 和 SP(可能有 2 个单独的安装)。
据我了解 IdP 和 SP 的定义:
- PingFederate既不是我的 IdP也不是我的 SP 之一。**
- 对于我的配置,PingFederate 只是促进了我的 IdP 和我的 SP之间的开放令牌传输。
- 直到最近,我还相信这是一个完全有效的配置。
- 但现在看来,这种配置不利于 SLO;或者至少与 PingFederate 充当我的 IdP 一样好。
- 它是否正确?
**当我这样说时,我的意思是说我有:
- 一个独立的 Web 应用程序,它对用户进行身份验证,并有一个包含用户名和密码的后备存储(即数据库)——这充当我的 IdP。
- 链接到我的 IdP 的多个独立 Web 应用程序显示数据并向我的用户提供功能 -这些充当我的 SP。