我對SAML2單一註銷中的請求/響應去哪裏有點困惑。SAML2 Single Logout,在哪裏發佈回覆?
對於單點登錄,IDP上有一個端點用於接收SP上的請求和端點以接收響應。所以每個端點只服務於一個目的。
但是,單次註銷可以同時觸發SP和IDP,但我總是隻能看到1個由IDP和SP定義的端點。這是否意味着請求和響應都必須轉到相同的端點?因此,要知道它是請求還是響應,IDP或SP需要查看它收到的XML?
我對SAML2單一註銷中的請求/響應去哪裏有點困惑。SAML2 Single Logout,在哪裏發佈回覆?
對於單點登錄,IDP上有一個端點用於接收SP上的請求和端點以接收響應。所以每個端點只服務於一個目的。
但是,單次註銷可以同時觸發SP和IDP,但我總是隻能看到1個由IDP和SP定義的端點。這是否意味着請求和響應都必須轉到相同的端點?因此,要知道它是請求還是響應,IDP或SP需要查看它收到的XML?
SAML 2.0標準doc reference中有一個所謂的Single Logout profile
。
在4.4 Single Logout Profile
上的頁面32,其詳細說明如下流動:
<LogoutRequest>
由會話參與者授予身份提供商<LogoutRequest>
由身份提供商發出會話參與者/ Authority<LogoutResponse>
<LogoutResponse>
到會話參與者如PingFederate SLO implementation更詳細,並PortalGuard article,你可以看到SP發起的SLO和IDP的區別初始化的SLO只是誰發佈了<LogoutRequest>
,並在收到<LogoutResponse>
之後,負責向最終用戶顯示註銷頁面。
希望這能解答您的疑慮。
謝謝,但基本上已經在這個問題。我的問題是註銷請求和響應是否都是「單一註銷服務」端點。 您鏈接的文檔對此有點談了: '相同或不同的端點可能用於請求和響應。' 但是這是否意味着您可以指定哪個端點用於請求以及哪些端點用於響應?如果是這樣,怎麼樣? –
我對該行的理解是,如果您有一臺聯合服務器充當IdP和SP,則SLO端點將是相同的。否則,如果是異構部署,那麼端點將會不同。此外,SLO端點也是SSO設置的元數據。 – chenrui
是的,但是元數據中的SLO端點是什麼? AFAIK,saml規範只提到:'SingleLogoutService'。因此,如果您的元數據中包含:'
我已經打開了類似的問題: https://stackoverflow.com/questions/47982791/saml-2-0-singlelogoutresponse-endpoint 你可以分享一些光,如果你可以嗎?謝謝 –