Spring Security SAML SSO - 全局注销

时间:2017-02-14 23:41:09

标签: spring security global logout saml-2.0

我正在寻找全球架构注销的文档,我已经查看了一些链接,但我有一个我找不到的场景。 如果SP的本地会话到期会发生什么?我做了一个实验室,我注意到当本地会话的TimeOut发生时,安全上下文丢失了。在这个架构中,本地会话timeOut不应该过期(SP)?

如果您有此方案的任何文档链接,请无限地感谢它们!

1 个答案:

答案 0 :(得分:0)

在SAMLv2中,没有真正的会话关联概念。由IdP发布的SAML断言确实具有有效性集(条件属性" NotBefore"" NotOnOrAfter"必须由SP检查)。实际上,SP应该在断言超时之前查询IdP(使用所谓的"被动AuthnRequest")来检查IdP上的会话是否仍然有效。

一些IdP实现具有专有扩展,以在IdP会话超时时通知SP,但是这主要要求SP支持SOAP绑定,因为它正在发生带外' (没有用户代理交互)。

解决您的问题....本地会话的(空闲)超时必须高于IdP。