PingFederate documentation注意您可以配置 SP或IDP单一注销(a.k.a. SLO)。
当用户请求&#34; Start-SLO&#34;用户启动SLO时来自浏览器的端点(即http://<PingFederate Base URL>/sp/startSSO.ping
或http://<PingFederate Base URL>/idp/startSSO.ping
)。
我的问题:
@Scott T.有以下说法here:
如果用户在IdP上启动SLO流程,则是 - 用户将是 重定向回到/idp/SLO.saml2作为最后一步。实际上,每个SP 您重定向到注销,将重定向回IdP 注销下一个SP。 如果您从SP启动SLO流程,那么 最终用户将在该SP的SLO端点上停留。
事实上,如果PingFederate重定向到启动SLO的SP作为最后一步,那将是很好的,但这不是我的经验。
也许我也应该问:
编辑: Per @Scott T。回答here:
我假设你有PingFederate作为IdP和SP(可能 2个单独的安装)。
据我了解IdP和SP的定义:
**当我这样说时,我的意思是说我有:
答案 0 :(得分:3)
我假设您将PingFederate作为IdP和SP(可能是2个单独的安装)。如果您想从IdP启动SLO流程,请在http://pingfed-idp/idp/startSSO.ping处申请。如果您想在SP中为SLO流程加注星标,请在以下位置申请:http://pingfed-sp/sp/startSSO.ping。
两种型号的流量略有不同:
如果从IdP开始,那么IdP将向您发送SSO会话的每个SP(一次一个)发送SAML 2.0 LogoutRequest消息。每个SP将从本地会话中注销用户,然后使用SAML LogoutResponse重定向回SP,表示成功/失败。一旦最终SP完成,该过程将在IdP结束。
如果您从SP开始,那么该SP将向IdP发送SAML 2.0 LogoutRequest,然后IdP将LogoutRequest发送到您拥有SSO会话的每个其他SP(一次一个)。每个SP将再次从本地会话注销用户,然后使用SAML LogoutResponse重定向回SP,表示成功/失败。一旦完成IdP终止所有会话 - 它会向发起SLO的原始SP发送最终的LogoutResponse。