PingFederate：SP SLO與IDP SLO - 真的很重要嗎？

Question

PingFederate documentation請注意，您可以配置或者 SP或IDP單次註銷（又名SLO）。

當用戶從瀏覽器請求「Start-SLO」端點（即http://<PingFederate Base URL>/sp/startSSO.ping或http://<PingFederate Base URL>/idp/startSSO.ping）時，用戶啓動SLO。

我的問題：

• 這不只是掛名區分？
• 在一天結束時，我們是不是隻針對終端？
• 此選擇是否對SLO過程有任何實質性影響？

---

@Scott T.有以下說here：

如果用戶在國內流離失所者開始SLO過程，然後是 - 用戶將 重定向回/ IDP/SLO .saml2作爲最後一步。實際上，您重定向到的每個SP 用於註銷，將重定向回IdP到 註銷下一個SP。 如果您從SP啓動SLO進程，然後 ，則用戶最後放置的最後一個位置是該SP的SLO端點。

事實上，如果PingFederate重定向到作爲最後一步啓動SLO的SP，那將會很不錯，但這不是我的經驗。

也許我也應該問：

• 你如何指定initated的SLO的SP？

---

編輯：每@Scott T.的回答here：

我假設在這裏你必須的PingFederate作爲IDP和SP（可能 2個獨立的安裝）。

據我瞭解的IdP的定義和SP：

• 的PingFederate是既不我的IdP 也不我的SP的一個**
• 對於我的配置，僅僅的PingFederate促進我的IdP和我的SP之間之間的開放令牌轉移。
• 直到最近，我都相信這是一個完全有效的配置。
• 但現在看來，這樣的配置不利於SLO;或者至少和PingFederate作爲我的IdP時一樣好。
  • 這是正確的嗎？

**當我這樣說，我的意思是說，我有：

• 其中認證用戶，並具有後備存儲器（即數據庫），獨立的Web應用程序，包括用戶名和密碼 - 這充當我的IdP。 這些充當我的SP - 這是鏈接到我的IdP顯示數據和我的用戶提供功能
• 多個獨立的Web應用程序。

Answer 1

我假設在這裏你必須的PingFederate作爲IDP和SP（可能2個單獨的安裝）。如果您想從您的IdP開始SLO流程，您可以通過以下網址申請：http://pingfed-idp/idp/startSSO.ping。如果您想要從SP中爲SLO進程加註星標，您可以通過以下網址申請：http://pingfed-sp/sp/startSSO.ping。

有從兩個模型流程略有區別：

如果你開始在的IdP，那麼的IdP會（每次一個）發送一個SAML 2.0 LogoutRequest消息到每個SP的，你有一個SSO會話。每個SP將從本地會話中註銷用戶，然後使用SAML LogoutResponse指示成功/失敗重定向回SP。一旦最終SP完成，該過程在IdP結束。

如果您從SP開始，那麼SP會向IdP發送SAML 2.0 LogoutRequest，然後IdP會將LogoutRequest發送給您有SSO會話的其他每個SP（每次一個）。每個SP將再次從本地會話中註銷用戶，然後使用SAML LogoutResponse指示成功/失敗重定向回SP。一旦IdP完成了所有會話的終止 - 它將發送一個最終的LogoutResponse給啓動SLO的原始SP。