通过删除 IDP cookie 在 Shibboleth 中使用全局注销
fri*_*ley 5 authentication shibboleth
我有一个使用 Shibboleth 进行身份验证的产品。
当用户在网站上发起注销时
- Web 服务器向 Shibboleth SP 发送注销请求。
- SP 在收到请求后删除 cookie。
- 但是,如果用户返回网站,则不会提示登录页面
对于下面显示的配置,我使用此处给出的 Shibboleth 服务提供商 https://www.testshib.org/install.html#SP。它被配置为使用 testshib.org IdP 详细信息可以在此处阅读
我相信 IdP 不会删除其会话 cookie 并在步骤 3 中重新登录用户。
有关 IdP Cookie 的更多信息:
此wiki 源指出 IdP 使用两个 cookie,_idp_authn_lc_key这些 cookie 在身份验证后将被删除。第二个是会话 cookie '_idp_session',它指出:
用户通过身份验证后,他们将与 IdP 建立长期会话,该会话由名为 _idp_session 的 cookie 进行跟踪。此 cookie 仅包含识别用户 IdP 会话所需的信息。该 cookie 被创建为“会话”cookie,并且当浏览器选择删除此类 cookie 时(通常是在浏览器关闭时),该 cookie 将被删除。
我的问题是
- 我需要对 SP 进行哪些更改才能请求 IdP 删除相同内容并有效创建GLOBAL LOGOUT?
无论如何,您将很难强制 IdP 注销用户。cookie 方法是一个实现细节,并非所有 IdP 都使用它,并且它可能会发生变化。一些 IdP 可能会提供注销 URL,但说实话,这对用户来说可能是件坏事(您能想象如果您能找到一种方法来不断地从您的网站以及他们与任何其他 SP 的会话中取消对用户的授权吗?)。您实际上只能控制您自己在服务提供商上的会话。
当您的用户返回/回到您的SP 时,为什么不强制重新进行身份验证?如果它们最近在访问后尚未经过 IdP 身份验证(这是从 SAML 交换返回的字段),只需将它们再次发送回 IdP 并传递强制重新身份验证标志即可。
如果您使用的是 Shibboleth 软件,它甚至是内置的:https: //wiki.cac.washington.edu/display/infra/Configure+a+Service+Provider+to+Force+Re-Authentication
| 归档时间: |
|
| 查看次数: |
6602 次 |
| 最近记录: |