1. 首頁
  2. 問答
  3. 的PingFederate單註銷:我的IdP問題只有一個LogoutRequest

的PingFederate單註銷:我的IdP問題只有一個LogoutRequest

2011-11-22 53 views
0

大廈關閉@Scott T.的answer的:的PingFederate單註銷:我的IdP問題只有一個LogoutRequest

...的PingFederate(充當IDP)知道其中SPS你有 在給定的會話中聯合使用。當用戶啓動SLO(從 您給出的示例 - 在IdP - 它也可以從 SP啓動),用戶瀏覽器(假設重定向或POST綁定)發送到每個SP帶有SAML LogoutRequest的 。

當我要求https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId],根據server.log中,的PingFederate問題只有一個 LogoutRequest。

<samlp:LogoutRequest Destination="https://[PingFederateServerInstance]:[PortNumber]/sp/SLO.saml2" NotOnOrAfter="2011-11-22T23:02:37.812Z" IssueInstant="2011-11-22T22:57:37.812Z" ID="NEDH4Khn4TvWsOwfAZxK_XiEc6f" Version="2.0" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> 
    <saml:Issuer>XXX:IDP</saml:Issuer> 
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
    <ds:SignedInfo> 
     <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> 
     <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> 
     <ds:Reference URI="#NEDH4Khn4TvWsOwfAZxK_XiEc6f"> 
     <ds:Transforms> 
      <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/> 
      <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> 
     </ds:Transforms> 
     <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> 
     <ds:DigestValue>Hnec0X3qfYlE2Z9+ooujtD1HKQk=</ds:DigestValue> 
     </ds:Reference> 
    </ds:SignedInfo> 
    <ds:SignatureValue>L6wmw7RF82s8W2s4YSkwHpnQFo6tFRKUZ3pyK7JEl/7CZyJsxJ5lnfpdaaogm/Gl3S3Y7WoSjbp4 
ssaNjtQ3x/nHsYI0zill66yhQ/DNaXAdRuKw6jDi9vqXemkYGx9cNxLkLvc14CUdn9qRA0gZcjyj 
ncaZvvWL5Kzy9JOuWSg=</ds:SignatureValue> 
    </ds:Signature> 
    <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">10072824</saml:NameID> 
    <samlp:SessionIndex>dWh6bd58GRgnbLgeYsTWSVXT7pO</samlp:SessionIndex> 
</samlp:LogoutRequest>

我的問題:

  • 如果我聯合與一個以上的SP,我應該如何配置的PingFederate,使其發出聯合每一個SP要求?

我傾向於認爲:

  1. 我需要在this screen配置的東西。
  2. 與多個SP註銷請求「鏈接在一起」的想法相一致,最後一個端點URL應該是/idp/SLO.saml2。

來源

2011-11-22 Jim G.

回答

4

讓我修改,首先回答:

的PingFederate知道哪些SPS你在某次會議有聯合與。

應該是:

的PingFederate充當的IdP知道哪些SPS用戶已在指定時段簽署生效。

作爲IdP的PingFederate上的配置將包含您擁有的每個SP連接的SLO協議配置。你在(1.)中鏈接的屏幕截圖實際上是一個IdP連接屏幕,這將在PingFederate扮演SP角色完成(也許這就是你的行爲 - 在你的原始查詢中我不清楚,所以我從你的問題的性質中假設了IdP)。您需要確保您已使用適當的SLO端點following these instructions配置每個SP連接。如果PingFederate是IdP,則它將知道在用戶啓動SLO時重定向到支持SLO的所有SP(以及用戶在哪裏進行會話)。

WRT到(2.):如果用戶在IdP上啓動SLO進程,那麼是 - 用戶將被重定向回到/idp/SLO.saml2作爲最後一步。實際上,您重定向到註銷的每個SP都將重定向回IdP以註銷下一個SP。如果您從SP啓動SLO進程,那麼最後一個用戶最終將進入該SP的SLO端點。

來源

2011-11-23 03:20:02

相關問題

 相關問題