我们将SAML2 IDP配置为会话不活动超时为30分钟。单点登录后,用户成功登录到SP。现在SP也配置为SAML单点注销(SLO)。即使用户在SP应用程序中工作,也会出现会话超时。我想知道是否由于会话不活动设置@ IDP而发生这种情况。我想了解IDP如何知道用户会话是活动的@SP,以便它不会发出SLO。有什么想法吗?
答案 0 :(得分:6)
在大多数情况下,当IDP会话到期时,IDP实现不会调用单次注销。其中一个原因是许多SP实现不支持使用后端通道进行单点注销(使用SOAP调用),这是在这种情况下唯一可用的绑定。
您的SP会话很可能会过期,因为它会遵循参数sessionNotOnOrAfter,该参数Authentication statement包含在IDP发送的Assertion SAML邮件中Response sessionNotOnOrAfter上。
所以要回答你的问题 - 由于你的IDP设置(定义要在sessionNotOnOrAfter中发送的值),你的SP会话可能会到期,但IDP可能不会发出单一注销但不会进行通信以任何方式使用您的SP(因此它也不知道是否仍在使用SP会话)。
您可能希望查看SP配置,看看是否可以更改其有关{{1}}属性的行为,或更改IDP提供的值。
这是一个有根据的猜测,你的环境行为可能与我假设的不同 - 正如Stefan已经评论过的,这种行为并不是标准化的。