PingFederate SLO - 状态消息：签名无效

Question

在我调用单点注销 (SLO) 后，通过在 https://[PingFederate 服务器实例] 上调用“GET” :[Port]/sp/startSLO.ping，我的 PingFederate 服务器开始向我的 SP 注销服务发出请求。 [我知道这一点，因为我可以在 Fiddler 中看到它发生。]

但是当我的 SP 调用 “https://:XXXX” + request.getParameter(“resume”); （根据@Scott T.的回答此处），我收到一条错误消息：

错误 - 单点注销不成功响应状态： urn:oasis:names:tc:SAML:2.0:status:请求者状态消息：无效 签名 您的单点注销请求未成功完成。到 注销您的身份提供商和每个服务提供商，关闭 您所有的浏览器窗口。合作伙伴： XXXX：IDP 目标资源： http://<域>/<默认 SLO 端点>

我的问题：

• 此错误消息指的是什么？
• 如何解决此错误情况？

Answer 1

此错误可能是由于 IdP 和 SP 之间的配置不匹配造成的。一端使用的 SAML 消息的签名密钥/证书必须与另一端的验证证书匹配。检查 IdP 和 SP 连接上的凭据配置。请参阅此部分有关一些详细信息，请参阅 PingFederate 管理指南。