PingFederate documentation請注意,您可以配置或者 SP或IDP單次註銷(又名SLO)。PingFederate:SP SLO與IDP SLO - 真的很重要嗎?
當用戶從瀏覽器請求「Start-SLO」端點(即http://<PingFederate Base URL>/sp/startSSO.ping
或http://<PingFederate Base URL>/idp/startSSO.ping
)時,用戶啓動SLO。
我的問題:
- 這不只是掛名區分?
- 在一天結束時,我們是不是隻針對終端?
- 此選擇是否對SLO過程有任何實質性影響?
@Scott T.有以下說here:
如果用戶在國內流離失所者開始SLO過程,然後是 - 用戶將 重定向回/ IDP/SLO .saml2作爲最後一步。實際上,您重定向到的每個SP 用於註銷,將重定向回IdP到 註銷下一個SP。 如果您從SP啓動SLO進程,然後 ,則用戶最後放置的最後一個位置是該SP的SLO端點。
事實上,如果PingFederate重定向到作爲最後一步啓動SLO的SP,那將會很不錯,但這不是我的經驗。
也許我也應該問:
- 你如何指定initated的SLO的SP?
編輯:每@Scott T.的回答here:
我假設在這裏你必須的PingFederate作爲IDP和SP(可能 2個獨立的安裝)。
據我瞭解的IdP的定義和SP:
- 的PingFederate是既不我的IdP 也不我的SP的一個**
- 對於我的配置,僅僅的PingFederate促進我的IdP和我的SP之間之間的開放令牌轉移。
- 直到最近,我都相信這是一個完全有效的配置。
- 但現在看來,這樣的配置不利於SLO;或者至少和PingFederate作爲我的IdP時一樣好。
- 這是正確的嗎?
**當我這樣說,我的意思是說,我有:
- 其中認證用戶,並具有後備存儲器(即數據庫),獨立的Web應用程序,包括用戶名和密碼 - 這充當我的IdP。 這些充當我的SP - 這是鏈接到我的IdP顯示數據和我的用戶提供功能
- 多個獨立的Web應用程序。
嗨斯科特。謝謝你的幫助。請參閱我的編輯。 –
你說得對,你的應用程序實現了真正的SP/IdP角色。不過,我期望PingFederate不僅僅是傳遞OpenTokens。它不是生成SAML請求/響應的那個嗎?您是否在PingFederate Administration中擁有SP/IdP角色的連接配置?的PingFederate始終工作在與適配器及連接配置相結合,以實現「第一英里」(IDP)和聯合集成的「最後一英里」(SP)。 –