我们假设有一位用户使用Single sign-on访问三种不同的服务。
单击“注销”时,可以识别并终止当前Sp的会话。
此处,IdP负责将用户从其他两个服务中注销。
我的问题是如何获得和终止与其余两项服务的会议?
答案 0 :(得分:7)
Idp向其他两个SP发送一个LogoutRequest,其中包含要注销的用户的sessionIndex。然后,SP负责终止会议。
答案 1 :(得分:3)
在SSO期间,IDP将SAML断言发送到包含AuthnStatement的SP。此AutnStatement的一个属性是SessionIndex,它使用IDP标识用户的会话。
在SLO期间,SP发送包含SessionIndex的SAML注销请求,该会话索引标识IDP必须终止的用户会话(使用IDP)。然后,IDP检索参与当前用户会话的SP列表。 IDP向每个SP发送SAML注销请求。
为了做到这一点,IDP需要跟踪参与当前用户会话的SP(即,在当前用户会话期间收到IDP发出的SAML断言的SP)。