5

与えられた:

  • PingFederateはシングルサインオン(SSO)ソリューションであり、単一のユーザー名とパスワードを使用して1-nアプリケーションでユーザーを認証できます。

高レベルの質問:

  • PingFederateのシングルログオフ(SLO)機能はどのように機能しますか?
  • そして、SLOは一般的にどのように機能しますか?

与えられた:

  • SLOプロセスを開始するには、ユーザーがブラウザーからSLOエンドポイントを要求することを期待します(つまりhttps://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId])。
  • また、SLOの呼び出しが成功した後、PingFederateインスタンスがリダイレクトを発行すると想定できます。

特定の質問:

  • しかし、複数のブラウザウィンドウに複数のアプリケーションがある場合はどうでしょうか。
  • フェデレーションIDプロバイダーは、複数のアプリケーションにユーザーセッションを終了するようにどのように指示できますか?
4

1 に答える 1

4

PingFederate入門マニュアルから直接:

「シングルログアウト(SLO)プロファイルにより、ユーザーはフェデレーションセッションに参加しているすべてのサイトからほぼ同時にログアウトできます。ユーザーは、それぞれのWebアプリケーションによって決定されるように、SPまたはIdPに関係なく、任意のサイトからグローバルにログアウトできます。関連するIdPフェデレーション展開は、参加サイトのすべてのログアウト要求と応答を処理します。」

つまり、PingFederate(IdPとして機能)は、特定のセッションでフェデレーションしたSPを認識しています。ユーザーがSLOを開始すると(IdPで、指定した例から、SPから開始することもできます)、ユーザーブラウザー(リダイレクトまたはPOSTバインディングを想定)がSAMLLogoutRequestを使用して各SPに送信されます。

「複数のブラウザウィンドウ」とは、独立したブラウザ/ブラウザセッションを意味する場合、実際、PingFederateはすべてのIdPからログアウトすることを知りません。あなたはそれらの間でいくつかの共通のセッションを持つ必要があります。したがって、複数のブラウザウィンドウであるが、同じセッション情報(Cookieなど)を共有している場合、これは正常に機能します。

詳細については、SAML 2.0プロファイル仕様のセクション4.4を参照してください:http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf

PingFederateはSAML2.0だけでなく、すべてのフェデレーションプロトコルがSLOをサポートしているわけではないことに注意してください(例:SAML 1.x)。また、PingFederate以外のSAML対応アプリケーションの多くはSLOをサポートしていません。

于 2011-11-22T21:45:51.633 に答える