У меня есть продукт, который аутентифицируется с использованием Shibboleth.Глобальный выход с использованием в Shibboleth путем удаления IDP cookie
Когда пользователь инициирует выход из системы на веб-сайте
- Веб-сервер отправляет запрос выхода из системы на Shibboleth SP.
- SP удаляет сообщение cookie при получении запроса.
- Однако, если пользователь возвращается на сайт страницу Логин не будет предложено
Для конфигурации, показанной ниже, я использую Шибболет Service Provider данный здесь https://www.testshib.org/install.html#SP. Он настроен на использование testshib.org детали из поставщику удостоверений, которые могут быть считаны here
Я считаю, что IdP не удаляя его куки сессии и повторно войти в систему пользователя на шаге 3.
Больше на IDP печенье:
Это wiki-source состояния IdP использует два печенья _idp_authn_lc_key
, который удаляется после аутентификации. а второй является куки сессии «_idp_session», для которой он утверждает, что:
Как только пользователь был идентифицирован у них будет долгоживущей сеанс с МВУ, который отслеживается с помощью печенья по имени _idp_session. Этот файл содержит только информацию, необходимую для идентификации сеанса IdP пользователя . Этот файл cookie создается как «session» cookie и будет удален, когда браузер захочет удалить такие файлы cookie (часто, когда браузер не работает).
Мой вопрос
- Какие изменения мне нужно сделать на SP просить IdP удалить то же самое и эффективно создать GLOBAL LOGOUT?
Посмотрите этот протокол HTTPS: //wiki.shibboleth.net/confluence/display/SHIB2/IdPEnableSLO # IdPEnableSLO-FullSAMLLogout – Michael
Я достиг того, чего вы хотите здесь, направляя мой URL-адрес выхода IdP. Ваш IdP _should_ предоставит вам это. Я не уверен, есть ли у TestShib один, или у него есть документация. Изменить: похоже, что TestShib не предоставляет никакой поддержки для этого. – dperjar