我正在努力将SAML SSO集成到较旧的PHP应用程序中。我正在使用simplesamlphp来设置我的服务提供商,出于测试目的,我设置了一个OneLogin开发帐户,其中包含一个" SAML测试连接器(IdP w / attr)"测试应用程序作为我的IdP。我可以成功登录,并且可以使用单一注销登录用户。我目前失去的是IdP如何传达诸如强制注销和删除对应用程序的访问之类的更改。
我原以为OneLogin会向我提供的URL发送请求,作为" Single Logout URL"一旦我强迫用户注销或删除他们对应用程序的权限以及足够的数据来识别用户。然后我会在服务提供商中过期该用户的会话,一切都会好的。但OneLogin并没有像我期望的那样发送该请求(仅在我发起单一注销过程后调用)。另一种选择似乎是我向OneLogin发送请求以频繁验证会话,但这似乎效率低下。
从SAML获取会话/权限更新的正确方法是什么?
答案 0 :(得分:0)
根据我的阅读,你没有得到更新,你问IdP他们(请求用户登录或注销,这将检查用户状态): http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html#5.3.Single%20Logout%20Profile|outline
我认为simplesamlphp不会充当策略的执行者,您以用户身份登录,直到它过期为止。
我知道你可以在simplesamlphp的config.php中将会话cookie持续时间设置为合理的值,试试吧。