Шаблон выхода из IdP с Ping

Когда я использую протокол WS-Federation и выхожу из своего приложения (поставщика услуг) с конечной точкой http://pingserver.com:Port/idp/prp.wsf?wa=wsignout1.0, я перенаправляюсь на шаблон выхода из IdP, предоставленный Ping.

Но когда я использую протокол SAML и выхожу из своего приложения (поставщика услуг) с конечной точкой http://pingserver.com:Port/idp/SLO.saml2?SAMLRequest=, меня перенаправляют на страницу выхода из SP.

Я использую тот же адаптер IdP на стороне Ping, тогда почему другое поведение. Разве Ping не должен обрабатывать последнее действие таким же образом?


saml pingfederate ws-federation
person yogsma    schedule 21.05.2014    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Причина кроется в различиях между стандартами.

Согласно WS-Federation. стандарт (глава 13.2.4.1), конечная точка должна поддерживать параметр wreply со следующим поведением:

Этот НЕОБЯЗАТЕЛЬНЫЙ параметр указывает URL-адрес, на который нужно вернуться после завершения очистки (выхода). Если этот параметр не указан, то после очистки GET завершается, возвращая любые данные, относящиеся к области, такие как строка, указывающая, что очистка для области завершена.

И поэтому, когда он не указан, Ping предоставляет страницу выхода по умолчанию (sourceid-wsfed-idp-signout-cleanuptemplate.html), которую можно настроить.

SAML 2.0 явно определяет, что в SLO, инициализированном SP, пользователь перенаправляется обратно в SP с сообщением SingleLogout, поэтому Ping следует этому.

person Vladimír Schäfer    schedule 22.05.2014
comment
Спасибо, я действительно разобрался со стороной SAML. Просто нужно подтверждение для WS-Federation, чтобы убедиться, что я все правильно реализовал для протокола SAML. - person yogsma; 22.05.2014