SAML单一注销，Azure AD作为SAP HANA中的IDP

Question

如何在SAP HANA中将Azure AD作为IDP实施SAML单一注销？
我已在Azure中定义了一个Web应用程序，以访问SAP HANA上托管的资源，如this link中所述。 在Web应用程序中定义了一个注销端点，其为
https://login.windows.net/common/wsfederation?wa=wsignout1.0

从浏览器I登录到Azure AD，然后我访问HANA上的资源。 在我从浏览器的地址栏调用端点后，我必须关闭所有浏览器窗口才能正确注销。

1. 这是我退出时的预期行为吗？
2. 如何在本机应用中实施SAML单一注销？那是真实的情景吗？

由于

Answer 1

是的，这是预期的行为，因为您正在使用WS-Fed注销。在这种情况下，SAP Hana（可能是Hana Identity Manager）会重定向到此URL以进行单点注销。 Azure AD也支持SAML单点注销。但您需要首先使用SAP HANA进行检查。如果它们支持基于SAML的单点注销，则应用程序可以将SAML注销POST请求发送到Azure AD，然后Azure AD可以注销用户并将用户重定向回请求中指定的其他页面。

此详细流程记录在此https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-single-sign-out-protocol-reference