Мы используем PingFederate в качестве поставщика услуг и используем Opentokenadapter. Мы также используем библиотеку mod_pf apache, предоставляемую PingFederate.Как указать службу выхода из PingFederateSLOURL в конфигурации mod_pf
Есть ли способ, которым мы можем настроить «Служба выхода из системы (присутствует в адаптере OpenToken)« в конфигурации mod_pf? Есть ли какой-либо параметр запроса для него, как у нас для PartnerIdpId, TargetResource и т. Д.?
mod_pf.conf для пакета интеграции Apache относится к конечной точке приложения /sp/startSLO.ping. В этом файле конфигурации, где вы будете настраивать различные биты для интеграции ... Вы можете рассмотреть варианты /sp/startSLO.ping как указано здесь: https://documentation.pingidentity.com/pingfederate/pf81/index.shtml#concept_spServices.html#concept_spServices
«Выход Сервис», как определено в адаптере, где браузер будет отправлен для SLO, который уничтожит любой текущий сеанс в SP-приложении. По спецификации, это приложение должно вернуть BACK to PingFederate, чтобы PingFederate мог вернуться к IdP с успехом/сбой. Если вы планируете поддерживать SLO, тогда этот «сервис» должен. Это «цель» будет закрывать сессию и с успехом перенаправлять обратно в PingFederate.
Мы используем версию PF 7.2.1.2 и настроили SP начальный SLO, определяя PingFederateCancelURL и PingFederateSLOURL url. Если мы не определяем «Logout Service» в адаптере Opentoken, /sp/startSLO.ping call throws 500 Внутренняя ошибка с нижеприведенной ошибкой: ** org.sourceid.websso.profiles.ProcessRuntimeException: org.sourceid.saml20.adapter. AuthnAdapterException: вызывается функция выхода из системы, но для этого адаптера не настроена служба выхода. ** – Shashank
Не могли бы вы подтвердить, что «Служба выхода» является обязательной в случае инициированного SPO SLO? Если бы вы не указали, что может быть неправильным в конфигурации? – Shashank
Да, это необходимо как для IdP-init, так и для SP-init SLO, и я изменил ответ. –