wso2is が saml2 SSO 仕様にどの程度準拠しているかは疑問です。特に、POST バインディングを使用する SingleLogoutProfile を検討してください。1 つの SP がログアウトを開始した後、IS は、参加している SP もログアウトすることを識別し、HTTP 経由でそれぞれの SP に LogoutRequest を直接送信します。
ベロー私は仕様から画像を再現しています(行1161)。ステップ 3 に注意してください。また、グレイアウトされている User-Agent にも注意してください。SOAP バインディングはユーザー エージェントをバイパスし、リクエストをセッション参加者に直接送信するため、グレー表示されています。ただし、POST バインディングは、User-Agent の関与によって機能するはずです! ( 765行目)
spring-security-saml-extension RC2 で wso2is 4.6.0 を使用しています。spring-extension が LogoutRequest を受け取ると (ステップ 3)、ログインしているユーザーがいると想定します。それ以外の場合、SP はグローバル セッション ID をローカル セッション ID にリンクするある種のテーブルを維持し、ログアウト要求の受信時に終了するセッションを検索する必要があります。このアプローチは、このブログでも推奨されています。
つまり、私が saml2-specs を誤解しているか、wso2 の人が誤解しているかのどちらかです! 私はむしろそれが私を信じているので、誰かが私を啓発してください!