我对请求/响应在 SAML2 单次注销中的位置感到有点困惑。
对于单点登录,IDP 上有一个端点来接收请求,SP 上有一个端点来接收响应。所以每个端点只服务一个目的。
但是,单次注销可以同时触发 SP 和 IDP,但我总是看到只有 1 个使用 IDP 和 SP 定义的端点。这是否意味着请求和响应都必须到达同一个端点?因此,要知道它是请求还是响应,IDP 或 SP 需要查看它接收到的 XML?
【问题讨论】:
标签: single-sign-on saml saml-2.0
在 SAML 2.0 标准 doc reference 中有一个所谓的Single Logout profile。
在第32页的4.4 Single Logout Profile中,详细说明了如下流程:
<LogoutRequest> 会话参与者向身份提供者发出<LogoutRequest> 由身份提供者向会话参与者/权威机构发出<LogoutResponse> 给身份提供者<LogoutResponse>
如PingFederate SLO implementation 和PortalGuard article 中更详细的说明,您可以看到 SP 发起的 SLO 和 IdP 发起的 SLO 的区别只是是谁发出了 <LogoutRequest> 和收到 <LogoutResponse> 后,谁负责向最终用户显示注销页面。
希望这能解决您的问题。
【讨论】:
The same or different endpoints MAY be used for requests and responses. 但这是否意味着您可以指定用于请求的端点以及用于响应的端点?如果是,怎么做?
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://example.com/slo"/> 是否同时用于请求和响应?然后由端点检查 XML 并确定要发送的内容吗?
<SingleLogoutService> 将在<IDPSSODescriptor> 或<SPSSODescriptor> 下指定。