PingFederate: SP SLO против IDP SLO - это действительно имеет значение? - PullRequest
Новая
       98

PingFederate: SP SLO против IDP SLO - это действительно имеет значение?

0 голосов
/ 26 ноября 2011

В документации PingFederate указано, что вы можете настроить либо SP, либо однократный выход IDP (он же SLO).

Пользователь инициирует SLO, когда этот пользовательзапрашивает конечную точку «Start-SLO» из своего браузера (т. е. либо http://<PingFederate Base URL>/sp/startSSO.ping, либо http://<PingFederate Base URL>/idp/startSSO.ping).

Мои вопросы:

  • Разве это не различие только по названию ?
  • В конце концов, разве мы не нацелены на конечную точку в любом случае?
  • Оказывает ли этот выбор какое-либо существенное влияние на процесс SLO?

@ Скотт Т. сказал следующее: здесь :

Если пользователи запускают процесс SLO в IdP, тогда да - пользователи будут перенаправлены обратно в / idp/SLO.saml2 в качестве последнего шага.Фактически каждый SP, к которому вы перенаправляете для выхода из системы, будет перенаправлять обратно в IdP для выхода из следующего SP. Если вы запустите процесс SLO из SP, то последнее место, где пользователи окажутся в конечном итоге, находится в конечной точке SLO этого SP.

Действительно, было бы хорошо, если бы PingFederate перенаправлялся наSP, который инициировал SLO в качестве последнего шага, но это не был мой опыт.

Возможно, я должен также спросить:

  • Как вы указываете SP, который инициировалSLO?

РЕДАКТИРОВАТЬ: За @ Скотт Т. ответ здесь :

Япри условии, что у вас есть PingFederate в качестве IdP и SP (возможно, 2 отдельные установки).

Как я понимаю, определения IdP и SP:

  • PingFederate равен ни мой IdP , ни один из моих SP. **
  • Для моей конфигурации PingFederate просто облегчает передачу открытого токена между мой IdP и мой SP.
  • До недавнего времени я считал, что это полностью допустимая конфигурация.
  • Но нкажется, что эта конфигурация не облегчает SLO;или, по крайней мере, так же хорошо, как если бы PingFederate действовал как мой IdP.
    • Это правильно?

** Когда я говорю это, я имею в виду, что у меня есть:

  • Aавтономное веб-приложение, которое аутентифицирует пользователей и имеет резервное хранилище (то есть базу данных), содержащее имена пользователей и пароли - Это действует как мой IdP.
  • Несколько автономных веб-приложений, связанных смой IdP, который отображает данные и предоставляет функциональность моим пользователям - Они действуют как мои SP.

1 Ответ

3 голосов
/ 26 ноября 2011

Я предполагаю, что здесь у вас есть PingFederate в качестве IdP и SP (возможно, 2 отдельные установки).Если вы хотите запустить процесс SLO с вашего IdP, вы должны запросить его по адресу: http://pingfed -idp / idp / startSSO.ping .Если вы хотите запустить SLO-процесс у своего SP, вы бы запросили его по адресу: http://pingfed -sp / sp / startSSO.ping .

Существует небольшая разница в потоке отлюбая модель:

Если вы начинаете с IdP, то IdP отправит сообщение SAML 2.0 LogoutRequest каждому SP (по одному за раз), где у вас есть сеанс SSO.Каждый SP выйдет из системы из локального сеанса, а затем перенаправит обратно к SP с SAML LogoutResponse, говорящим об успехе / неудаче.Процесс заканчивается в IdP, как только окончательный SP завершен.

Если вы начинаете в SP, этот SP отправит запрос на выход SAML 2.0 LogoutRequest в IdP, затем IdP отправит запрос LogoutRequest каждому другому SP (по одному), где у вас есть сеанс SSO.Каждый SP снова выйдет из системы из локального сеанса, а затем перенаправит обратно к SP с SAML LogoutResponse, говорящим об успехе / неудаче.Как только IdP завершает все сеансы - он отправляет окончательный ответ LogoutResponse исходному SP, который инициировал SLO.

...