Вы можете перенаправить пользователя после локального события выхода из системы куда угодно, передав параметр ?return= в URL-адрес, то есть вы должны обновить ссылку для выхода из системы:
https://xxxx/Shibboleth.sso/Logout?return=https%3A%2F%2Fgoogle.com
чтобы перенаправить людей в Google после выхода из системы.
Теперь вам нужен только URL-адрес Okta, чтобы вернуть людей в ..., поэтому я думаю, если клиент Okta вашего клиента - "foobar.okta.com"перенаправление их после локального выхода на страницу входа в Okta не должно запрашивать их вход в систему, поскольку у них уже будет сеанс Okta ... так что, возможно, попробуйте:
https://xxxx/Shibboleth.sso/Logout?return=https%3A%2F%2Ffoobar.okta.com%2Flogin
OfКонечно, вам нужно будет это проверить ... но это должно сработать, и при вероятности того, что сессия Shibboleth SP пользователя была активна, а их сессия Okta аннулирована с помощью какого-то другого механизма, который просто вернет их к их обычномуСтраница входа Okta.
Очевидно, что вы можете перенаправить их на любую конечную точку с параметром return, например, с любым URL-адресом выхода Okta (если вы тоже хотите уничтожить их сеанс Okta).
Единственный выход, которыйMetadata настраивается в режиме SLO (одиночный выход), т. е. если вы этого хотите, Shibboleth может перенаправить пользователя в Okta после завершения сеанса SP, наряду со специальной полезной нагрузкой подтверждения <LogoutRequest>, которую Okta будет анализировать.и действовать любыми способами, например, убивая сеанс Okta пользователя, передавая последующие <LogoutRequest> инициируемые Okta утверждения другим поставщикам услуг и т. д. На практике это никогда не срабатывает, потому что такие конфигурации очень трудно заставить работать междувсе соответствующие стороны.