0

@Scott T.の答えから構築:

... PingFederate(IdPとして機能)は、特定のセッションでフェデレーションしたSPを認識します。ユーザーがSLOを開始すると(IdPで-提供した例から-SPから開始することもできます)、ユーザーブラウザー(リダイレクトまたはPOSTバインディングを想定)がSAMLLogoutRequestを使用して各SPに送信されます。

https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]server.logによると、リクエストすると、PingFederateは1つのLogoutRequestのみを発行します。

<samlp:LogoutRequest Destination="https://[PingFederateServerInstance]:[PortNumber]/sp/SLO.saml2" NotOnOrAfter="2011-11-22T23:02:37.812Z" IssueInstant="2011-11-22T22:57:37.812Z" ID="NEDH4Khn4TvWsOwfAZxK_XiEc6f" Version="2.0" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <saml:Issuer>XXX:IDP</saml:Issuer>
  <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:SignedInfo>
      <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
      <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
      <ds:Reference URI="#NEDH4Khn4TvWsOwfAZxK_XiEc6f">
        <ds:Transforms>
          <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
          <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
        </ds:Transforms>
        <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
        <ds:DigestValue>Hnec0X3qfYlE2Z9+ooujtD1HKQk=</ds:DigestValue>
      </ds:Reference>
    </ds:SignedInfo>
    <ds:SignatureValue>L6wmw7RF82s8W2s4YSkwHpnQFo6tFRKUZ3pyK7JEl/7CZyJsxJ5lnfpdaaogm/Gl3S3Y7WoSjbp4
ssaNjtQ3x/nHsYI0zill66yhQ/DNaXAdRuKw6jDi9vqXemkYGx9cNxLkLvc14CUdn9qRA0gZcjyj
ncaZvvWL5Kzy9JOuWSg=</ds:SignatureValue>
  </ds:Signature>
  <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">10072824</saml:NameID>
  <samlp:SessionIndex>dWh6bd58GRgnbLgeYsTWSVXT7pO</samlp:SessionIndex>
</samlp:LogoutRequest>

私の質問:

  • 複数のSPとフェデレーションした場合、フェデレーションSPごとに1つのリクエストを発行するようにPingFederateを構成するにはどうすればよいですか?

私はそれを信じる傾向があります:

  1. この画面で何かを設定する必要があります。
  2. 複数のSPログアウト要求が「チェーン化」されるという考えに同意して、最後のエンドポイントURLは/idp/SLO.saml2である必要があります。
4

1 に答える 1

4

その最初の答えを修正させてください:

PingFederateは、特定のセッションでフェデレーションしたSPを認識しています。

する必要があります:

IdPとして機能するPingFederateは、特定のセッションでユーザーがサインインしたSPを認識しています。

IdPとして機能するPingFederateの構成には、使用している各SP接続のSLOプロトコル構成が含まれます。(1.)でリンクしたスクリーンショットは、実際にはIdP接続画面であり、PingFederateがSPの役割を果たしているときに実行されます(おそらくそれがあなたが演じているものです-元のクエリでは明確ではなかったので、私はあなたの質問の性質からIdPを仮定しました)。これらの手順に従って、適切なSLOエンドポイントを使用して各SP接続を構成したことを確認する必要があります。PingFederateがIdPの場合、ユーザーがSLOを開始すると、SLOをサポートするすべてのSP(およびユーザーがセッションを持っている場所)にリダイレクトすることがわかります。

WRT to(2.):ユーザーがIdPでSLOプロセスを開始した場合、はい-ユーザーは最後のステップとして/idp/SLO.saml2にリダイレクトされます。実際、ログアウトのためにリダイレクトする各SPは、次のSPからログアウトするためにIdPにリダイレクトされます。SPからSLOプロセスを開始する場合、ユーザーが最終的に到達する最後の場所は、そのSPのSLOエンドポイントです。

于 2011-11-23T03:20:02.397 に答える