我正在使用 PF 5.2.0 来设置 IdP 以及多个 SP。我的问题是关于单个注销 senario。
如果 SP1 和 SP2 与我的 IdP 建立了会话,则在 IdP 启动注销时,通过向两个 SP 发出 samlp:LogoutRequest 可以正常工作。如果在与 IdP 建立会话后其中一个 SP 关闭,那么 SLO 未完成,则将面临一个问题,这意味着如果 SP1 关闭,则假设第一个注销请求发送到已关闭的 SP1,则 samlp:LogoutRequest 不会发送到 SP2。
我正在使用 POST 绑定,但我相信这与重定向的结果相同
期待你的评论。。
-Vj
Vj -
这是前通道 SAML 2.0 SLO 的“设计”行为,实际上与 PingFederate 没有任何特定关系。这也是您没有看到很多企业使用 SLO 的原因之一。
SAML2.0 SLO 的缺点之一是它可能非常脆弱。如您所见,如果任何 SP 未能向 IDP 返回响应,则整个事务将停止,因为 IDP 正在等待恢复事务。不幸的是,这正是前通道 SAML 2.0 SLO 的工作原理。我相信基于 SOAP 的 SLO,因为从不涉及浏览器,所以它没有相同的限制。但是,这要求 SP 将用户的状态保存在数据库中,当它收到 SLO 请求时可以将其删除,而无需访问用户的浏览器 cookie 以删除会话(因为浏览器永远不会访问SP 在这种情况下)。
HTH--伊恩