我正在努力让Shibboleth ServiceProvider Logout运行。但总是当我调用/Shibboleth.sso/Logout时,它将导致错误消息:
{{1}}
我们没有选择在IdP网站上激活回复的签名。所以唯一的选择是找到我们可以在SP站点上设置的任何配置。有人知道我们能做什么吗?
答案 0 :(得分:0)
根据SAML标准,应签署LogoutResponse。然而,相当多的IDP在这方面无法达到标准。
Shibboleth的解决方法是:
将此添加到security-policy.xml:
<!-- Turns off the requirement of having signed LogoutResponses -->
<Policy id="unsigned-slo">
<PolicyRule type="NullSecurity"/>
</Policy>
将其添加到应用程序中的shibboleth2.xml。
&LT; md:SingleLogoutService Location =“/ SLO / Redirect”conf:template =“bindingTemplate.html”conf:policyId =“unsigned-slo”Binding =“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect” /&gt;