java - 如何从IDP端实现特定SP的全局注销？

Question

我已将 Spring Saml 与我的应用程序集成，并且运行良好。我可以使用 SP 发起的 SSO 和 IDP 发起的 SSO 登录。我还添加了本地注销设置。但我还有一项要求，即用户将使用 SP 发起的 SSO 登录。身份验证成功后，用户将进入 IDP 选择页面(本例中为 ADFS 2.0)并选择一个 SP，然后单击从该站点注销。

当时我需要触发我的 SP 主页打开的客户端浏览器的 session 终止。该用户的其他 SP 不应受到影响。

有很多与单点注销相关的问题，但我的情况有点不同。我想从全局 IDP 页面注销我的应用程序。虽然我可以在本地注销并且 session 正在终止。我已经配置了此 Spring-Saml 中给出的所有设置文档。

Answer 1

是的，对于SingleSignOut存在很多疑问。但我相信你想要的不是标准的单点注销配置文件(第 4.4 段)。 ADFS 当然不会通过反向 channel 发起注销(第 4.4.3.3 段的 SOAP 绑定(bind))。

也许你可以做“非法”？ LogoutRequest(因为所有 SP 都应被 checkout )，带有来自 IdP (ADFS) 的重定向或后绑定(bind)。但也许(我怀疑并且没有在当前补丁级别上验证)仅在 S2008R2 和 S2012 上的 ADFS 2.0 中。在S2012R2上根本没有机会。这是一条死胡同。

我想从一个应用程序注销确实没有任何意义。这是单点登录!您可以清除本地 SP 登录 session cookie，并尝试在从 SP 到 IdP 的 AuthnRequest 上使用 ForceAuthn。这样能达到需要的效果吗？至少这是标准的。