我目前正在开发一个小型ASP.NET项目,涉及针对第三方身份提供商的用户身份验证。目前登录工作,注销不是。
我使用WIF SAML 2.0 extension来处理SAML协议。
第三方IdP 不需要来自服务提供商的签名LogoutRequests。但是,默认情况下,WIF SAML扩展程序要求我签署此类请求。
问题:
另一个库OpenAM在其extended service provider metadata中有一个有趣的属性:
<Attribute name="wantLogoutRequestSigned">
<Value>false</Value>
</Attribute>
WIF中是否有类似的属性?
任何指针都会深表赞赏。
答案 0 :(得分:0)
因此,假设这是SP-Init SLO,并且您使用POST或Redirect绑定将LogoutRequest发送到IDP,则SLO配置文件表明您必须对请求进行数字签名。见第4.4.3.1节,第1223-1224行:
“如果使用HTTP POST或Redirect绑定,则必须签署消息。”
不确定WIF是否允许您为SLO生成不合规的消息。我猜测OpenAM设置仅用于测试目的(或SOAP绑定),并且WIF没有类似的选项。
我知道我没有直接回答你的问题,但HTH无论如何 - 伊恩