PingFederate documentation请注意,您可以配置或者 SP或IDP单次注销(又名SLO)。PingFederate:SP SLO与IDP SLO - 真的很重要吗?
当用户从浏览器请求“Start-SLO”端点(即http://<PingFederate Base URL>/sp/startSSO.ping
或http://<PingFederate Base URL>/idp/startSSO.ping
)时,用户启动SLO。
我的问题:
- 这不只是挂名区分?
- 在一天结束时,我们是不是只针对终端?
- 此选择是否对SLO过程有任何实质性影响?
@Scott T.有以下说here:
如果用户在国内流离失所者开始SLO过程,然后是 - 用户将 重定向回/ IDP/SLO .saml2作为最后一步。实际上,您重定向到的每个SP 用于注销,将重定向回IdP到 注销下一个SP。 如果您从SP启动SLO进程,然后 ,则用户最后放置的最后一个位置是该SP的SLO端点。
事实上,如果PingFederate重定向到作为最后一步启动SLO的SP,那将会很不错,但这不是我的经验。
也许我也应该问:
- 你如何指定initated的SLO的SP?
编辑:每@Scott T.的回答here:
我假设在这里你必须的PingFederate作为IDP和SP(可能 2个独立的安装)。
据我了解的IdP的定义和SP:
- 的PingFederate是既不我的IdP 也不我的SP的一个**
- 对于我的配置,仅仅的PingFederate促进我的IdP和我的SP之间之间的开放令牌转移。
- 直到最近,我都相信这是一个完全有效的配置。
- 但现在看来,这样的配置不利于SLO;或者至少和PingFederate作为我的IdP时一样好。
- 这是正确的吗?
**当我这样说,我的意思是说,我有:
- 其中认证用户,并具有后备存储器(即数据库),独立的Web应用程序,包括用户名和密码 - 这充当我的IdP。 这些充当我的SP - 这是链接到我的IdP显示数据和我的用户提供功能
- 多个独立的Web应用程序。
嗨斯科特。谢谢你的帮助。请参阅我的编辑。 –
你说得对,你的应用程序实现了真正的SP/IdP角色。不过,我期望PingFederate不仅仅是传递OpenTokens。它不是生成SAML请求/响应的那个吗?您是否在PingFederate Administration中拥有SP/IdP角色的连接配置?的PingFederate始终工作在与适配器及连接配置相结合,以实现“第一英里”(IDP)和联合集成的“最后一英里”(SP)。 –