У меня проблема с конфигурацией Keycloak и единым выходом из системы SAML Identity Provider.
Сценарий:
- Пользователь пытается войти в Service Provider с помощью клиента Keycloak (OID)
- K C перенаправляет к провайдеру идентификации SAML
- Ввод правильных учетных данных, пользователь вошел в систему, K C создает сеанс, и пользователь перенаправляется обратно на страницу SP
- На другой вкладке пользователь напрямую входит в IP (учетные данные не требуются из-за SSO)
- Пользователь выходит из системы из SP
- После обновления sh 2-я вкладка (IP) пользователь выходит из системы.
Однако, если пользователь сначала выходит из системы с IP, сеанс SP не закрывается, и пользователь все еще находится в системе:
Пользователь выходит из системы с IP (перенаправление на конечную точку K C и возврат обратно на страницу входа по IP) После обновления sh пользователь все еще находится в SP
Keycloak правильно принимает запрос samlp: LogoutRequest и возвращает
В консоли администратора K C я все еще вижу, что для данного клиента (и пользователя) есть активный сеанс. На самом деле я вижу запрос на выход из SAML с IP только в K C stdout (фильтр запроса-сброса), но в K C.
события выхода из системы не произошло. Я не совсем понимаю в деталях, как работает SAML, но не должен ли пользователь выйти из SP с помощью SLO? Или, может быть, мне что-то не хватает в конфигурации клиента / области / IP K C? Спасибо за помощь / объяснение