PingFederate:SP SLO与IDP SLO - 真的重要吗?

时间:2011-11-26 03:42:54

标签: single-sign-on saml-2.0 pingfederate

PingFederate documentation注意您可以配置 SP或IDP单一注销(a.k.a. SLO)。

当用户请求&#34; Start-SLO&#34;用户启动SLO时来自浏览器的端点(即http://<PingFederate Base URL>/sp/startSSO.pinghttp://<PingFederate Base URL>/idp/startSSO.ping)。

我的问题:

  • 这只是仅仅是名称​​的区别吗?
  • 在一天结束时,我们是不是只针对一个端点?
  • 此选择是否会对SLO流程产生重大影响?

@Scott T.有以下说法here

  

如果用户在IdP上启动SLO流程,则是 - 用户将是   重定向回到/idp/SLO.saml2作为最后一步。实际上,每个SP   您重定向到注销,将重定向回IdP   注销下一个SP。 如果您从SP启动SLO流程,那么   最终用户将在该SP的SLO端点上停留。

事实上,如果PingFederate重定向到启动SLO的SP作为最后一步,那将是很好的,但这不是我的经验。

也许我也应该问:

  • 如何指定启动SLO的SP?

编辑: Per @Scott T。回答here

  

我假设你有PingFederate作为IdP和SP(可能   2个单独的安装)。

据我了解IdP和SP的定义:

  • PingFederate 既不 我的IdP 也不我的某个SP。**
  • 对于我的配置,PingFederate只是简化我的IdP和我的SP之间的开放令牌传输
  • 直到最近,我才相信这是一个完全有效的配置。
  • 但现在看来这种配置并不能促进SLO;或者至少和PingFederate作为我的IdP一样好。
    • 这是对的吗?

**当我这样说时,我的意思是说我有:

  • 一个独立的Web应用程序,用于对用户进行身份验证,并具有包含用户名和密码的后备存储(即数据库) - 这充当了我的IdP。
  • 链接到我的IdP的多个独立网络应用程序,用于显示数据并为我的用户提供功能 - 这些用作我的SP。

1 个答案:

答案 0 :(得分:3)

我假设您将PingFederate作为IdP和SP(可能是2个单独的安装)。如果您想从IdP启动SLO流程,请在http://pingfed-idp/idp/startSSO.ping处申请。如果您想在SP中为SLO流程加注星标,请在以下位置申请:http://pingfed-sp/sp/startSSO.ping

两种型号的流量略有不同:

如果从IdP开始,那么IdP将向您发送SSO会话的每个SP(一次一个)发送SAML 2.0 LogoutRequest消息。每个SP将从本地会话中注销用户,然后使用SAML LogoutResponse重定向回SP,表示成功/失败。一旦最终SP完成,该过程将在IdP结束。

如果您从SP开始,那么该SP将向IdP发送SAML 2.0 LogoutRequest,然后IdP将LogoutRequest发送到您拥有SSO会话的每个其他SP(一次一个)。每个SP将再次从本地会话注销用户,然后使用SAML LogoutResponse重定向回SP,表示成功/失败。一旦完成IdP终止所有会话 - 它会向发起SLO的原始SP发送最终的LogoutResponse。