4

Shibboleth を使用して認証する製品があります。

ユーザーが Web サイトでログアウトを開始したとき

  1. Web サーバーは、ログアウト要求を Shibboleth SP に送信します。
  2. SP は、リクエストの取得時に Cookie の投稿を削除します。
  3. ただし、ユーザーが Web サイトに戻った場合、ログイン ページは表示されません。

以下に示す構成では、 https: //www.testshib.org/install.html#SP にある Shibboleth Service Provider を使用しています。ここで読むことができるtestshib.org IdPの詳細を使用するように構成されています

Shibboleth サインアウト

IdP がセッション Cookie を削除しておらず、ステップ 3 でユーザーを再ログインしていると思われます。

IdP Cookie の詳細:

このwiki ソースには、IdP が_idp_authn_lc_key認証後に削除される 2 つの Cookie を使用していると記載されています。2 つ目はセッション Cookie '_idp_session' で、次のように記述されています。

ユーザーが認証されると、_idp_session という名前の Cookie によって追跡される IdP とのセッションが長期間維持されます。この Cookie には、ユーザーの IdP セッションを識別するために必要な情報のみが含まれています。この Cookie は「セッション」Cookie として作成され、ブラウザーがそのような Cookie の削除を選択した場合 (多くの場合、ブラウザーを閉じた場合) に削除されます。

私の質問は

  • IdP に SP を削除して効果的にGLOBAL LOGOUTを作成するように要求するには、SP にどのような変更を加える必要がありますか?
4

1 に答える 1

2

それだけの価値があるため、IdP にユーザーを強制的にログオフさせるのは非常に困難です。Cookie のアプローチは実装の詳細であり、すべての IdP がそれを使用しているわけではなく、変更される可能性があります。一部の IdP はログアウト URL を提供する場合がありますが、正直なところ、それはユーザーにとって何か悪いことになる可能性があります (あなたのサイトだけでなく、他の SP とのセッションからユーザーを常に認証解除する方法を見つけられるか想像できますか?)。実際には、サービス プロバイダーで自分のセッションを制御することしかできません。

ユーザーがSPに戻った/戻ってきたときに再認証を強制しないのはなぜですか? 訪問後に IdP に対して最近認証されていない場合 (これは、SAML 交換から返されたフィールドです)、IdP に再度送信して、forced-reauth フラグを渡します。

Shibboleth ソフトウェアを使用している場合は、それも組み込まれています: https://wiki.cac.washington.edu/display/infra/Configure+a+Service+Provider+to+Force+Re-Authentication

于 2014-09-11T02:45:42.057 に答える