PingFederate：SP SLO与IDP SLO - 真的很重要吗？

Question

PingFederate documentation请注意，您可以配置或者 SP或IDP单次注销（又名SLO）。

当用户从浏览器请求“Start-SLO”端点（即http://<PingFederate Base URL>/sp/startSSO.ping或http://<PingFederate Base URL>/idp/startSSO.ping）时，用户启动SLO。

我的问题：

• 这不只是挂名区分？
• 在一天结束时，我们是不是只针对终端？
• 此选择是否对SLO过程有任何实质性影响？

---

@Scott T.有以下说here：

如果用户在国内流离失所者开始SLO过程，然后是 - 用户将 重定向回/ IDP/SLO .saml2作为最后一步。实际上，您重定向到的每个SP 用于注销，将重定向回IdP到 注销下一个SP。 如果您从SP启动SLO进程，然后 ，则用户最后放置的最后一个位置是该SP的SLO端点。

事实上，如果PingFederate重定向到作为最后一步启动SLO的SP，那将会很不错，但这不是我的经验。

也许我也应该问：

• 你如何指定initated的SLO的SP？

---

编辑：每@Scott T.的回答here：

我假设在这里你必须的PingFederate作为IDP和SP（可能 2个独立的安装）。

据我了解的IdP的定义和SP：

• 的PingFederate是既不我的IdP 也不我的SP的一个**
• 对于我的配置，仅仅的PingFederate促进我的IdP和我的SP之间之间的开放令牌转移。
• 直到最近，我都相信这是一个完全有效的配置。
• 但现在看来，这样的配置不利于SLO;或者至少和PingFederate作为我的IdP时一样好。
  • 这是正确的吗？

**当我这样说，我的意思是说，我有：

• 其中认证用户，并具有后备存储器（即数据库），独立的Web应用程序，包括用户名和密码 - 这充当我的IdP。 这些充当我的SP - 这是链接到我的IdP显示数据和我的用户提供功能
• 多个独立的Web应用程序。

Answer 1

我假设在这里你必须的PingFederate作为IDP和SP（可能2个单独的安装）。如果您想从您的IdP开始SLO流程，您可以通过以下网址申请：http://pingfed-idp/idp/startSSO.ping。如果您想要从SP中为SLO进程加注星标，您可以通过以下网址申请：http://pingfed-sp/sp/startSSO.ping。

有从两个模型流程略有区别：

如果你开始在的IdP，那么的IdP会（每次一个）发送一个SAML 2.0 LogoutRequest消息到每个SP的，你有一个SSO会话。每个SP将从本地会话中注销用户，然后使用SAML LogoutResponse指示成功/失败重定向回SP。一旦最终SP完成，该过程在IdP结束。

如果您从SP开始，那么SP会向IdP发送SAML 2.0 LogoutRequest，然后IdP会将LogoutRequest发送给您有SSO会话的其他每个SP（每次一个）。每个SP将再次从本地会话中注销用户，然后使用SAML LogoutResponse指示成功/失败重定向回SP。一旦IdP完成了所有会话的终止 - 它将发送一个最终的LogoutResponse给启动SLO的原始SP。