我使用PF 5.2.0来设置IdP以及多个SP。我的问题是关于单一的Logout senario。
如果SP1和SP2已经使用我的IdP建立了会话,那么在IdP启动注销时,通过向SP发出samlp:LogoutRequest,它可以正常工作。如果在与IdP建立会话之后SP中的一个发生故障,那么我将面临一个问题,那么SLO没有完成,这意味着如果SP1关闭则samlp:假设第一个注销请求被发送到SP1,那么LogoutRequest不会发送到SP2。
我正在使用POST绑定,但我相信这对于重定向也是同样的结果
等待期待您的评论..-Vj
答案 0 :(得分:1)
Vj -
这是前端SAML 2.0 SLO的“按设计”行为,并且实际上与PingFederate没有任何具体关系。这也是您没有看到许多企业使用SLO的原因之一。
SAML2.0 SLO的一个缺点是它可能非常脆弱。正如您所注意到的,如果任何SP未能向IDP返回响应,则整个事务将停止,因为IDP正在等待恢复事务。不幸的是,这正是前端SAML 2.0 SLO的工作原理。我相信使用基于SOAP的SLO,因为浏览器从不涉及,它没有相同的限制。但是,这需要SP将用户的状态保存在数据库中,该数据库在收到SLO请求时可以删除,而无需访问用户的浏览器cookie以删除会话(因为浏览器永远不会访问SP在这种情况下。)
HTH --Ian