PingFederate單一註銷 - 它是如何工作的？

Question

已知：

• 的PingFederate是單點登錄（SSO）的解決方案，它允許用戶通過使用單個用戶名和密碼1-N應用進行認證。

高層次的問題：

• 怎樣的PingFederate的單註銷（SLO）功能的工作？
• SLO如何工作？

---

考慮：

• 要開始SLO過程中，我們預計用戶從瀏覽器（即https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]）要求SLO端點。
• 而且我們可以假設PingFederate實例將在成功執行SLO調用後發出重定向。

具體的問題：

• 但是，如果你有多個瀏覽器窗口的多個應用程序？
• 聯合身份提供者怎麼能告訴多個應用程序終止其用戶會話？

Answer 1

從的PingFederate直接入門手冊：

「的單點註銷（SLO）配置文件使用戶能夠註銷的聯盟會話所有參與網站幾乎同時的用戶可以從全局註銷任何站點，無論是SP還是IdP，由相應的Web應用程序確定。關聯的IdP聯合部署處理參與站點的所有註銷請求和響應。「

這就是說 - PingFederate（充當IdP）知道你在給定的會話中聯合了哪些SP。當用戶啓動SLO時（從您給出的示例 - 在IdP上 - 它也可以從SP啓動），用戶瀏覽器（假設爲重定向或POST綁定）通過SAML LogoutRequest發送給每個SP。

如果通過「多個瀏覽器窗口」來表示獨立的瀏覽器/瀏覽器會話，那麼PingFederate確實不會註銷所有的IdP。你需要有一些共同的會議。所以，如果它只是多個瀏覽器窗口，但共享相同的會話信息（例如：cookies），這將工作得很好。

欲瞭解更多信息，您可能想諮詢的SAML 2.0配置文件規範的第4.4節：http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf

記住的PingFederate不只限於支持SAML 2.0的更多 - 但不是所有的聯盟協議支持SLO（如：SAML 1 。X）。此外，許多非PingFederate SAML感知應用程序不支持SLO。