從第一個應用程序註銷觸發時從第二個應用程序自動註銷

Question

方案：

我有兩個應用程序使用pingfederate單點登錄服務完成登錄。

1.用戶嘗試登錄第一個應用程序，但由於用戶未經身份驗證，用戶被重定向到pingfederate的登錄頁面（通用登錄頁面）。用戶登錄到第一個應用程序。
2.用戶嘗試登錄到第二個應用程序，因爲用戶已通過單點登錄服務進行身份驗證pingfederate爲應用程序提供必要的信息（設置會話所需的信息）並且用戶被重定向到第二個應用程序。

問題：
當用戶從第一個應用程序註銷，然後用戶成功註銷。此時，pingfederate知道所有打開的應用程序，然後發送註銷回調。所以它發送註銷請求到第二個應用程序。第二個應用程序處理註銷請求並清除會話。但用戶停留在同一頁面上。用戶沒有被重定向到登錄頁面

問題：
如何才能實現這一點？

Answer 1

方式SLO應該爲SP-初始化SLO工作是：

1. 您在第一SP應用點擊註銷。

2. 您被重定向到帶有LogoutRequest的IdP。

3. 然後，IdP將您連續發送給所有其他SP使用 LogoutRequests。其中每一個都必須向IdP提供一個具有狀態的SAMLResponse回 。

4. 對IDP，在接收到最後的狀態之後，必須發送用戶 /瀏覽器返回到發起SP和與 最終狀態的SAMLResponse，其SP作用在。

在IDP-初始化SLO，它基本上只步驟3

這裏的起腳，不過，我覺得得到你的問題的心臟。如果這些SP中的單個「不當行爲」（即，不響應或支持SLO）（無需支持SLO），那麼如果重定向到它，它將打破註銷的「鏈」 ！ IdP將重定向到SP，並且瀏覽器將停留在那裏。一旦鏈條被打破，就沒有辦法讓它重新開始。

我在一年多前的博客文章"SLO - Proceed With Caution"中討論過這個問題。最終，許多大名鼎鼎的SP不支持SLO，因此沒有多少理由這樣做 - 它只會給你，作爲SAML管理員，一個黑眼睛。或者胃灼熱。或兩者。