PingFederate SLO проблема с mulltipartner

Question

Я использую PF 5.2.0 для настройки IdP, а также нескольких SP. У меня вопрос по поводу одного выхода из системы Senario.

если сессия была установлена ​​SP1 и SP2 с моим IdP, то при выходе из системы, инициированном IdP, все работает нормально, выдав samlp: LogoutRequest обоим SP. Возникает проблема, если один из SP не работает после установления сеанса с IdP, тогда SLO не завершается, то есть, если SP1 не работает, то samlp: LogoutRequest не отправляется SP2, если первый запрос на выход из системы отправляется SP1, который не работает.

Я использую привязку POST, но я верю, что это будет тот же результат и для перенаправления

в ожидании ваших комментариев ..

-Vj

Answer 1

Vj -

Это «намеренное» поведение с SAML 2.0 SLO на переднем канале, которое на самом деле не имеет ничего общего с PingFederate. Это также одна из причин, по которой вы не видите много предприятий, использующих SLO.

Одним из недостатков SAML2.0 SLO является то, что он может быть очень хрупким. Как вы заметили, если какой-либо из SP не сможет вернуть ответ IDP, вся транзакция останавливается, так как IDP ожидает возобновления транзакции. К сожалению, именно так работает SAML 2.0 SLO с фронтальным каналом. Я полагаю, что с SLO на основе SOAP, поскольку браузер никогда не задействован, у него нет такого же ограничения. Однако для этого требуется, чтобы SP сохранял состояние пользователя в базе данных, которая может быть удалена при получении запроса SLO, без необходимости также получать доступ к cookie-файлам браузера пользователя для удаления сеанса (поскольку браузер никогда не будет посещать ИП в этом сценарии).

НТН --Ian