【发布时间】:2018-06-10 04:16:34
【问题描述】:
我正在处理 Idp 自定义。我需要让它处理来自使用 OIDC 登录的 SP 的单一注销请求。 我目前有 SAML 的单一注销功能,但我的客户也请求了 OIDC。 是否有发送单一注销请求的标准行业方法?典型的 SP 向 Single Logout 端点发送什么?
【问题讨论】:
标签: single-sign-on openid-connect
【发布时间】:2018-06-10 04:16:34
【问题描述】:
据我所知,注销超出了 oidc 规范的范围,但这是我发现为不同提供商多次实施的实施者草案。
https://openid.net/specs/openid-connect-session-1_0.html#RPLogout
【讨论】:
-
它不是 RFC,它是所谓的“实施者草案”
-
谢谢。你知道请求是如何发送到端点的吗?采用什么格式?
-
已更新。谢谢汉斯
-
TheFootClan,它是一个浏览器重定向到 OP(或授权服务器)
-
这只是一个普通的重定向?所以我假设发送到注销 URL 所需的参数作为附加到 URL 的查询字符串发送?
正如sdoxsee 提到的,执行会话管理和注销方法的方法是实施者“草案”。
OpenID Connect Front-Channel Logout 规范定义了一个RP-Initiated Logout 机制,该机制使用前端通道通信将来自 OpenID Connect 提供者的注销请求通过用户代理传递给依赖方。 RP 发起的注销
OpenID Connect Back-Channel Logout specification 定义了一个 OpenID Connect 提供者发起的注销机制,它使用 OpenID Connect 提供者和被注销的依赖方之间的直接反向通道通信。
这些可以与 RP-Initiated Logout 结合使用,然后导致 OpenID Connect Provider 发起的注销,所有这些都可能由最终用户引起。
【讨论】: