单注销(SLO)下的SAML Core(saml-core-2.0-os:3.7.1)和SAML配置文件(saml-profiles-2.0-os:4.4.3.1)规范中提到了“LogoutRequest”。 SLO需要“sessionIndex”才能工作,否则无法映射会话参与者。但是,sessionIndex是根据核心规范的可选元素。因此,它意味着即使未启用/支持SLO配置文件,也可以发送LogoutRequests。
是的,我知道SAML可以用于许多安全用例 - 不仅仅是SSO。但是,在SAML SSO方案中,如果未启用SLO,则似乎只向Identity Provider(IdP)发送任何请求(SAML LogoutRequest除外)注销端点应足以使此单个会话无效。如果我没记错,SalesForce和GoogleApps就是这么做的。
在这种情况下涉及SAML LogoutRequest似乎是浪费处理。可以说使用签名的LogoutRequests将确保请求是由可信方发送的,但实际上网络犯罪分子只想登录 - 而不是注销。
但是,某些SAML SSO提供程序在非SLO方案中支持LogoutRequests。这有什么用呢?
答案 0 :(得分:0)
如果使用重定向完成SLO,则可以认为不需要LogoutRequest,但最好确定SLO请求是由使用签名的被激活方发送的。如果你不需要,允许你不相信的政党采取行动是一个坏主意。
在同步SOAP用于SLO的情况下。需要请求以使用sessionindex标识会话。
但是,某些SAML SSO提供程序在非SLO方案中支持LogoutRequests。这有什么用呢?
这是否意味着提供者发布会话索引属性?会话索引不仅用于SLO请求,还用于AuthnQuery。但我认为大多数提供商只是因为它们支持SLO并默认生成此会话索引。即使接收方不使用它。