IdP と複数の SP をセットアップするために PF 5.2.0 を使用しています。私の質問は、シングル ログアウト シナリオに関するものです。
IdP を使用して SP1 と SP2 によってセッションが確立されている場合、IdP で開始されたログアウトでは、両方の SP に samlp:LogoutRequest を発行することで正常に機能します。IdP とのセッションを確立した後に SP の 1 つがダウンし、SLO が完了しない場合、問題に直面しています。つまり、SP1 がダウンしている場合、samlp:LogoutRequest は SP2 に送信されません。最初のログアウト要求がダウンしている SP1 に送信されると仮定します。
私は POST バインディングを使用していますが、これはリダイレクトでも同じ結果になると思います
コメントお待ちしております..
-Vj
Vj-
これは、フロントチャネルSAML 2.0 SLOでの「設計による」動作であり、実際にはPingFederateとは何の関係もありません。これは、SLOを使用している企業があまり見られない理由の1つでもあります。
SAML2.0 SLOの欠点の1つは、非常に壊れやすいことです。お気づきのとおり、いずれかのSPがIDPへの応答を返さない場合、IDPはトランザクションの再開を待機しているため、トランザクション全体が停止します。残念ながら、これがフロントチャネルSAML2.0SLOの動作方法です。SOAPベースのSLOでは、ブラウザーが関与することはないため、同じ制限はありません。ただし、これには、SPがSLO要求を受信したときに削除できるデータベースにユーザーの状態を保持する必要があります。セッションを削除するために、ユーザーのブラウザーCookieにアクセスする必要もありません(ブラウザーがこのシナリオのSP)。
HTH--イアン