使用 Google Apps 作为身份提供者时如何配置单点注销？答案

【问题标题】：How to configure Single Logout when using Google Apps as the Identity Provider?使用 Google Apps 作为身份提供者时如何配置单点注销？
【发布时间】：2018-12-23 22:24:36
【问题描述】：

如in the Google docs 所述，您可以将 Google Apps 用作 SAML 2.0 IdP。 IdP 元数据包含 SSO 的 URL，但不包含 SLO URL：

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://accounts.google.com/o/saml2?idpid=XXXXXXXX" validUntil="xxxxxxx">
  <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
      <ds:X509Certificate>....</ds:X509Certificate>
    </ds:X509Data>
      </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://accounts.google.com/o/saml2/idp?idpid=XXXXXXXXX"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"     Location="https://accounts.google.com/o/saml2/idp?idpid=XXXXXXXXX"/>
  </md:IDPSSODescriptor>
</md:EntityDescriptor>

尝试仅对 SLO 使用相同的 URL 会导致 Google 出错：

Error parsing the request, malformed_request: The SAML request is malformed. That’s all we know.

当然，您可以直接重定向到 https://accounts.google.com/logout，但这只会结束 Google 会话。

Google 文档中没有提到 SLO。支持吗？

【问题讨论】：

标签： single-sign-on google-apps saml-2.0 google-sso

【解决方案1】：

Google 不支持将 SAML SLO 作为身份或服务提供商。

【讨论】：