Shibboleth SP:注销导致“LogoutResponse的安全性未建立”

时间:2016-01-05 15:32:41

标签: saml shibboleth

我正在努力让Shibboleth ServiceProvider Logout运行。但总是当我调用/Shibboleth.sso/Logout时,它将导致错误消息:

{{1}}

我们没有选择在IdP网站上激活回复的签名。所以唯一的选择是找到我们可以在SP站点上设置的任何配置。有人知道我们能做什么吗?

1 个答案:

答案 0 :(得分:0)

根据SAML标准,应签署LogoutResponse。然而,相当多的IDP在这方面无法达到标准。

Shibboleth的解决方法是:

将此添加到security-policy.xml:

<!-- Turns off the requirement of having signed LogoutResponses -->
<Policy id="unsigned-slo">
  <PolicyRule type="NullSecurity"/>
</Policy>

将其添加到应用程序中的shibboleth2.xml。

&LT; md:SingleLogoutService Location =“/ SLO / Redirect”conf:template =“bindingTemplate.html”conf:policyId =“unsigned-slo”Binding =“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect” /&gt;