PingFederate : SP SLO 대 IDP SLO - 정말 중요합니까?

Question

PingFederate documentation은 을 SP 또는 IDP 단일 로그 아웃 (a.k.a. SLO)으로 구성 할 수 있습니다.

사용자가 브라우저에서 "Start-SLO"엔드 포인트 (예 : http://<PingFederate Base URL>/sp/startSSO.ping 또는 http://<PingFederate Base URL>/idp/startSSO.ping)를 요청하면 사용자가 SLO를 시작합니다.

내 질문 :

• 은 이름이 단지 구분 아닌가?
• 결국 우리는 어쨌든 엔드 포인트를 겨냥하고 있지 않습니까?
• 이 선택 사항은 SLO 프로세스에 중대한 영향을 미칩니 까? 사용자가 가/IDP/SLO로 다시 리디렉션됩니다 - 사용자가 IdP가에서 SLO 프로세스를 시작하는 경우

  , 다음 예 :

---

@Scott T.이 (가) here 말을 다음했다 .saml2가 마지막 단계입니다. 실제로 로그 아웃을 위해 리디렉션하는 각 SP 은 다음 SP의 로그 아웃으로 IdP로 다시 리디렉션됩니다. SP에서 SLO 프로세스를 시작하는 경우 사용자가 마지막으로 수행 할 자리는 이며 해당 SP의 SLO 끝점에 있습니다.

사실, PingFederate 마지막 단계로 SLO를 initated SP로 리디렉션 경우 좋은 것입니다, 그러나 이것은 내 경험되지 않았습니다.

아마도 나는 또한 요청해야합니다 :

• 어떻게 SLO를 initated은 SP를 지정합니까?

---

편집 : 당 @Scott T.의 대답 here :

나는 당신이 IdP가와 SP (잠재적 2 개의 별도 설치 횟수)로 PingFederate이 여기에 있으리라 믿고있어.

내가 IdP가의 정의와 SP 알고있는 것처럼 :.

• PingFederate 내 IdP가 도 내의 SP 중 하나 도입니다 ** 내 구성의
• , PingFederate 단지 내 IdP와 내 SP 사이에 사이의 열린 토큰 전송 을 용이하게합니다.
• 아주 최근까지만해도 나는 이것이 완전히 유효한 구성이라고 믿었습니다.
• 그러나 이제는이 구성이 SLO를 용이하게하지 못하는 것처럼 보입니다. 적어도 PingFederate가 IdP로 활동하는 것처럼 멋지게 만들 수 있습니다.
  • 이 맞습니까?
    이
    • 백업 저장소 (예 : 데이터베이스) 사용자를 인증하고,이있는 독립형 웹 응용 프로그램이 포함 :이 말할 때

  는 **, 나는이 말을 의미 사용자 이름과 암호 - 이것은 내 IdP 역할을합니다. 내 SP의 이러한 행위 - 데이터를 표시하고 내 사용자에게 기능을 제공 내 IdP가 연결되어

• 여러 독립형 웹 응용 프로그램.

Answer 1

여기서는 IdP 및 SP (잠재적으로 2 개의 개별 설치)로 PingFederate가 있다고 가정합니다. IdP에서 SLO 프로세스를 시작하려면 http://pingfed-idp/idp/startSSO.ping에 요청하십시오. SP에서 SLO 프로세스의 별표를 표시하려면 http://pingfed-sp/sp/startSSO.ping에 요청하십시오.

모델 중 하나에서 흐름에 약간의 차이가있다 : 당신은이 당신이 IdP가 시작되면

는 다음 IdP가가 (한 번에 하나)가 SP의 각각에 SAML 2.0 LogoutRequest 메시지를 보냅니다은 SSO 세션. 각 SP는 로컬 세션에서 사용자를 로그 아웃 한 다음 성공/실패를 나타내는 SAML LogoutResponse와 함께 SP로 다시 리디렉션합니다. 마지막 SP가 완료되면 IdP에서 프로세스가 종료됩니다.

SP에서 시작하면 해당 SP는 IdP에 SAML 2.0 LogoutRequest를 보내고 IdP는 SSO 세션이있는 다른 모든 SP (한 번에 하나씩)로 LogoutRequest를 전송합니다. 각 SP는 로컬 세션에서 사용자를 다시 로그 아웃 한 다음 성공/실패를 나타내는 SAML LogoutResponse와 함께 SP로 다시 리디렉션합니다. 일단 IdP가 모든 세션을 종료하면 SLO를 시작한 원래 SP로 최종 LogoutResponse를 전송합니다.