0

予想どおり、シングルログアウト(SLO)を開始すると、さまざまなSPログアウトサービスエンドポイントに到達します。

ただし、opentokenからより多くの情報を受け取りたいです。

現在、私のSPはトークンで次の属性を受け取ります。

not-before
subject
not-on-or-after
renew-until

私の質問:

  • SPログアウトサービスに到達したときに、トークンでより多くの属性を受け取るにはどうすればよいですか?

編集: @Scott T.の回答による:

SLO時にこれらの属性にアクセスできるということは、opentokenがCookieで送信されるか、アプリケーションセッションのSPでこれらの属性をローカルに維持していることを意味します。

  • 私の構成では、IdPアダプターとSPアダプターの両方があります。
  • これらの各アダプターの拡張コントラクトに属性を追加しました。
  • では、IdPアダプターのログアウトサービスに到達し、オープントークンを解析すると、拡張コントラクトの属性を含む すべての属性が表示されるのはなぜですか?
    • 一方、SPアダプターのログアウトサービスのいずれかに到達すると、解析されたオープントークンに拡張コントラクト属性が表示されませんか?
  • IdPアダプタのログアウトサービスはそのように特別ですか?
4

1 に答える 1

1

opentoken で受け取った属性は、opentoken の属性コントラクトとそれに対応する接続​​の属性コントラクト (およびフルフィルメント) によって決定されます。

(SP での) opentoken アダプター属性コントラクトの変更の詳細については、PingFederate 管理ガイドのこのセクションを参照してください。

接続の属性構成の変更の詳細については、このセクションを参照してください。

この構成は、SSO 中に SP で属性が受け取られ、opentoken に渡される方法のみを変更することに注意してください。SLO 時にこれらの属性にアクセスできるということは、opentoken が Cookie で送信されるか、これらの属性を SP のアプリケーション セッションでローカルに維持していることを意味します。Cookie にはサイズ制限があることに注意してください。実際にそれを使用して opentoken を転送している場合、渡される属性の量を増やすと、そのような制限に達する可能性があります。

また、IdP から新しい属性が必要な場合は、同様に接続側で構成を調整する必要があることに注意してください。

PingFederate 統合キットのトレーニングをさらにお探しの場合は、Ping Identity トレーニングに登録することをお勧めします。

于 2011-11-28T03:39:14.337 に答える