2011-11-28 64 views
0

我正在使用PF 5.2.0來設置一個IdP和多個SP。我的問題是關於單個註銷參數。PingFederate SLO問題mulltipartner

如果會話已由SP1和SP2與我的IdP建立,然後在IdP發起的註銷,它通過發出samlp:LogoutRequest兩個SP的工作正常。如果其中一個SP在與IdP建立會話後出現問題,則SLO無法完成,這意味着如果SP1已關閉,則samlp:假設第一個註銷請求發送到SP1已關閉,則LogoutRequest不會發送到SP2。

我使用POST綁定,但我相信這將是對重定向在期待您的意見,以及

等待同樣的結果..

-Vj

回答

1

VJ -

這是使用前通道SAML 2.0 SLO進行的「設計」行爲,實際上並沒有與PingFederate相關的任何特定功能。這也是您沒有看到許多企業使用SLO的原因之一。

SAML2.0 SLO的一個缺點是它可能非常脆弱。如您所注意到的,如果任何SP無法向IDP返回響應,則整個事務將被停止,因爲IDP正在等待恢復事務。不幸的是,這只是前端通道SAML 2.0 SLO的工作原理。我相信在基於SOAP的SLO中,由於瀏覽器從不涉及,因此它沒有相同的限制。但是,這要求SP將用戶的狀態保存在一個數據庫中,該數據庫在接收到SLO請求時可以刪除,而無需訪問用戶的瀏覽器Cookie來刪除會話(因爲瀏覽器永遠不會訪問SP在這種情況下)。

HTH --Ian

+0

感謝您的回答蘭,我希望如果有一個平安的API,它可以讓我控制這個。我沒有發現任何有關此senario的記錄。 – user1069172

+0

NP。但是,您希望API能做什麼以及將會怎樣稱呼它?使用前端通道綁定,一旦開始向SP請求,您將如何控制瀏覽器?您可能能夠使用監視SLO重定向的框架,但您需要擔心瀏覽器安全性,Cookie和P3P策略。祝你好運。 – Ian

+0

我在發佈logoutReq之前就ping了SP。 – user1069172

相關問題