PingFederate 与多合作伙伴的 SLO 问题

Question

我正在使用 PF 5.2.0 设置 IdP 和多个 SP。我的问题是关于单一注销场景。

如果 SP1 和 SP2 已与我的 IdP 建立了会话，则在 IdP 启动注销时，通过向两个 SP 发出 samlp:LogoutRequest 可以正常工作。如果在与 IdP 建立会话后其中一个 SP 关闭，则 SLO 无法完成，这意味着如果 SP1 关闭，则假设第一个注销请求发送到关闭的 SP1，则 samlp:LogoutRequest 不会发送到 SP2。

我正在使用 POST 绑定，但我相信这将是相同的重定向结果，并

等待您的评论..

-Vj

Answer 1

Vj -

这是前通道 SAML 2.0 SLO 的“设计”行为，实际上与 PingFederate 没有任何特定关系。这也是您没有看到很多企业使用 SLO 的原因之一。

SAML2.0 SLO 的缺点之一是它可能非常脆弱。正如您所注意到的，如果任何 SP 未能向 IDP 返回响应，则整个事务将停止，因为 IDP 正在等待恢复事务。不幸的是，这正是前端通道 SAML 2.0 SLO 的工作原理。我相信基于 SOAP 的 SLO，由于浏览器从不涉及，因此不会有相同的限制。然而，这要求 SP 将用户的状态保存在数据库中，当它收到 SLO 请求时可以将其删除，而无需访问用户的浏览器 cookie 来删除会话（因为浏览器永远不会访问该会话） SP 在这种情况下）。

华泰
——伊恩