我有两个SP(服务提供商),我使用Ping作为IdP。在通过SAML实施单点登出配置文件时,我收到状态为PartialLogout的IdP回复。
因此主SP向Ping发送LogoutRequest,Ping向参与SP发送LogoutRequest,参与SP终止会话并向Ping发送LogoutResponse,Ping发送LogoutResponse到主SP。这个LogoutResponse包含状态为PartialLogout,我不知道我缺少什么。我检查了Ping服务器的日志,它说" Signature Required"在发送LogoutResponse时使用从参与SP到IdP的重定向绑定。
我使用相同的证书签署LogoutResponse(参与SP到IdP)我曾用LogoutRequest签署(主要SP到IdP)。不确定我在这个实现中缺少什么。有人有任何指示吗?
答案 0 :(得分:0)
我通过Ping的帮助弄明白了。应使用SAMLResponse=XXXXX&RelayState=YYYYY&SigAlg=ZZZZ创建签名,然后将其用作signature参数的值。这特别是在使用HTTP-REDIRECT绑定时。如果POST绑定,则不需要这样做。