我在SAML 2.0中有问题单次登出。
我有一个带有IdP(身份提供者)和充当SP(服务提供者)的Web应用程序的SAML 2.0环境。>
作为用户,我在用户代理(浏览器)中启动Web应用程序会话。使用IdP对用户进行身份验证。
[在不同的浏览器中(在同一台客户端计算机上运行),我在同一Web应用程序(即,就SAML而言,在同一SP中)中以同一用户身份启动另一个会话。
现在我有两个独立的Web应用程序会话,其中对同一用户进行了身份验证。
[然后,我在其中一个浏览器中执行由IdP启动的单个注销时,IdP仅发出一个注销请求,该请求终止该浏览器中正在运行的会话。由IdP发出的注销请求的元素等于IdP在使用该浏览器(用户代理)发送给SP的断言的AuthnStatement的属性SessionIndex中发送的元素。
IdP实际上没有必要为所有打开的会话发送注销请求,以实现真正的“单一注销”吗?
我在SAML 2.0单一登出时遇到问题。我有一个带有IdP(身份提供程序)和充当SP(服务提供程序)的Web应用程序的SAML 2.0环境。作为用户,我开始建立网站...
简短的回答:SAML规范允许Single Logout(SLO)以您想要的方式运行,但是典型的实现并不那么复杂。
从SAML Profiles规范的第4.4节(单一注销配置文件::)>
一旦委托人已经向身份提供者进行身份验证,则认证实体可以与委托人建立会话(通常通过Cookie,URL重写或其他方式具体实施方式)。身份提供者随后可以向服务提供商或其他依赖方发出声明,基于在此身份验证事件上;依赖方可以使用它来与校长建立自己的会议。在这种情况下,身份提供者可以充当会话授权