Fatal编程技术网
  • single-sign-on/
  • Single sign on PingFederate:SP SLO与IDP SLO-这真的重要吗?

Single sign on PingFederate:SP SLO与IDP SLO-这真的重要吗?

single-sign-on

Single sign on PingFederate:SP SLO与IDP SLO-这真的重要吗?,single-sign-on,saml-2.0,pingfederate,Single Sign On,Saml 2.0,Pingfederate,注意:您可以配置SP或IDP单次注销(又称SLO) 当用户从其浏览器请求“开始SLO”端点时(即http:///sp/startSSO.ping或http:///idp/startSSO.ping) 我的问题是: 这不只是名义上的区别吗 归根结底,我们不是仅仅针对一个端点吗 该选择是否对SLO流程有任何实质性影响 @Scott T.说了以下几句话: 如果用户在IdP启动SLO进程,则是-用户将 作为最后一步重定向回/idp/SLO.saml2。事实上,每个SP 您重定向到以进行注销的,将重

注意:您可以配置SP或IDP单次注销(又称SLO)

当用户从其浏览器请求“开始SLO”端点时(即
http:///sp/startSSO.ping
http:///idp/startSSO.ping

我的问题是:

  • 这不只是名义上的区别吗
  • 归根结底,我们不是仅仅针对一个端点吗
  • 该选择是否对SLO流程有任何实质性影响
@Scott T.说了以下几句话:

如果用户在IdP启动SLO进程,则是-用户将 作为最后一步重定向回/idp/SLO.saml2。事实上,每个SP 您重定向到以进行注销的,将重定向回IdP 注销下一个SP。如果从SP启动SLO进程,则 用户最后到达的位置是该SP的SLO端点。

事实上,如果PingFederate将重定向到启动SLO的SP作为最后一步,那就太好了,但这不是我的经验

或许我也应该问:

  • 如何指定启动SLO的SP
编辑:根据@Scott T.的回答:

我在这里假设您有PingFederate作为IdP和SP(潜在的) 2个独立安装)

据我所知,IdP和SP的定义如下:

  • PingFederate既不是我的IdP,也不是我的SP之一**
  • 对于我的配置,PingFederate只是促进IdP和SP之间的开放令牌传输
  • 直到最近,我一直相信这是一个完全有效的配置
  • 但现在看来这种配置不利于SLO;或者至少和PingFederate扮演我的IdP一样好。
    • 这是正确的吗
**当我这么说的时候,我的意思是说我有:

  • 一个独立的web应用程序,它对用户进行身份验证,并有一个包含用户名和密码的备份存储区(即数据库)作为我的IdP。
  • 链接到我的IdP的多个独立web应用程序显示数据并向我的用户提供功能-它们充当我的SP。
我假设您有PingFederate作为IdP和SP(可能有两个单独的安装)。如果要从IdP启动SLO进程,请在以下位置请求:。如果要从SP启动SLO进程,请在以下位置请求它:

两种模型的流量略有不同:

如果从IdP开始,则IdP将向每个SP发送一条SAML 2.0 LogoutRequest消息(一次一条消息),其中您有一个SSO会话。每个SP将用户从本地会话注销,然后重定向回SP,并使用SAML LogoutResponse显示success/fail。完成最终SP后,该过程在IdP结束

如果从SP启动,则该SP将向IdP发送SAML 2.0 LogoutRequest,然后IdP将向具有SSO会话的每个其他SP(一次一个)发送LogoutRequest。每个SP将再次将用户从本地会话注销,然后重定向回SP,并显示SAML LogoutResponse success/fail。一旦IdP结束所有会话,它将向启动SLO的原始SP发送最终LogonResponse。

我假设您将PingFederate作为IdP和SP(可能有两个单独的安装)。如果要从IdP启动SLO进程,请在以下位置请求:。如果要从SP启动SLO进程,请在以下位置请求它:

两种模型的流量略有不同:

如果从IdP开始,则IdP将向每个SP发送一条SAML 2.0 LogoutRequest消息(一次一条消息),其中您有一个SSO会话。每个SP将用户从本地会话注销,然后重定向回SP,并使用SAML LogoutResponse显示success/fail。完成最终SP后,该过程在IdP结束

如果从SP启动,则该SP将向IdP发送SAML 2.0 LogoutRequest,然后IdP将向具有SSO会话的每个其他SP(一次一个)发送LogoutRequest。每个SP将再次将用户从本地会话注销,然后重定向回SP,并显示SAML LogoutResponse success/fail。一旦IdP完成终止所有会话,它将向启动SLO的原始SP发送最终LogonResponse。

您说的应用程序实现了真正的SP/IdP角色是正确的。然而,我希望PingFederate所做的不仅仅是传递OpenToken。它不是生成SAML请求/响应的那个吗?您在PingFederate管理中没有SP/IdP角色的连接配置吗?PingFederate始终与适配器和连接配置一起工作,以实现联合集成的“第一英里”(IdP)和“最后一英里”(SP)。您说的对,您的应用程序实现了真正的SP/IdP角色。然而,我希望PingFederate所做的不仅仅是传递OpenToken。它不是生成SAML请求/响应的那个吗?您在PingFederate管理中没有SP/IdP角色的连接配置吗?PingFederate始终与适配器和连接配置一起工作,以实现联合集成的“第一英里”(IdP)和“最后一英里”(SP)。