用戶從simpleSAMLphp註銷的正確方法是什麼？

Question

我們在IdP端使用SimpleSAMLphp作爲SAML實現。有一個SP配置爲通過IdP對用戶進行身份驗證。我的問題是關於註銷過程。當用戶從SP註銷時，IdP會話仍然存在。如果我再次嘗試登錄到SP，它會將當前會話用於IdP，並且不會請求憑證。我如何從IdP註銷用戶？我知道我可以配置SingleLogoutService，但SP不支持它。 simpleSAMLphp是否提供用戶友好的註銷頁面？什麼是最佳實踐？

Answer 1

如果SP不支持SLO，那麼您就是SOL。抱歉。無法抗拒。

說真的，雖然......並不是很多SP支持SLO。這是有原因的 - 只需要一個SP不支持它，或者無法處理SLO請求，並且它「打破了鏈條」。

如果SP支持在註銷後將用戶重定向到頁面，則可以將其配置爲重定向到IdP的身份驗證方法的註銷頁面以使該令牌失效......但是，至於在IdP本身銷燬實際會話，處理這個問題的最好方法是使其成爲一個短暫的會話（強制驗證服務會話的重新驗證）。

最終，確保您希望支持註銷請求（超出瀏覽器會話）。