Проблема PingFederate SLO с мультипартнером

Я использую PF 5.2.0 для настройки IdP, а также нескольких SP. Мой вопрос касается единого сценария выхода из системы.

если сеанс был установлен с помощью SP1 и SP2 с моим IdP, то при выходе из системы, инициированном IdP, он работает нормально, отправляя samlp: LogoutRequest обоим SP. Я сталкиваюсь с проблемой, если один из SP не работает после установления сеанса с IdP, тогда SLO не завершается, что означает, что если SP1 не работает, то samlp: LogoutRequest не отправляется в SP2, предполагая, что первый запрос на выход отправлен в SP1, который не работает.

Я использую привязку POST, но я считаю, что это будет тот же результат и для перенаправления.

жду с нетерпением ваших комментариев..

-Vj


saml-2.0 pingfederate
person user1069172    schedule 28.11.2011    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Vj -

Это «преднамеренное» поведение с передним каналом SAML 2.0 SLO и на самом деле не имеет ничего общего с PingFederate. Это также одна из причин, по которой мало предприятий используют SLO.

Одним из недостатков SAML2.0 SLO является то, что он может быть очень хрупким. Как вы заметили, если какой-либо из SP не возвращает ответ IDP, вся транзакция останавливается, поскольку IDP ожидает возобновления транзакции. К сожалению, именно так работает фронтальный канал SAML 2.0 SLO. Я считаю, что с SLO на основе SOAP, поскольку браузер никогда не задействован, у него нет такого ограничения. Однако для этого требуется, чтобы SP сохранял состояние пользователя в базе данных, которая может быть удалена при получении запроса SLO без необходимости также получать доступ к файлам cookie браузера пользователя для удаления сеанса (поскольку браузер никогда не посетит SP в этом случае).

HTH -- Ян

person Ian    schedule 28.11.2011
comment
Спасибо за ответ, Лан, я надеялся, что есть API-интерфейс Ping, который позволит мне это контролировать. Я не нашел никаких документов по этому senario. - person user1069172; 29.11.2011
comment
НП. Однако что, по вашему мнению, будет делать API и как это будет называться? С привязками переднего канала, как вы вернете себе контроль над браузером, когда он начнет делать запросы к SP? Возможно, вы сможете использовать фрейм, который каким-то образом отслеживает перенаправления SLO, но вам нужно будет беспокоиться о безопасности браузера, файлах cookie и политиках P3P. Удачи. - person Ian; 29.11.2011