是否可以将用户从使用SAML身份验证的应用程序中注销,但是让他们登录到IDP以便他们可以继续访问其他服务提供商?
我希望能够将用户从应用程序中注销,并在他们返回应用程序时对其进行身份验证,而不将其从IDP中注销(即我不想使用单点注销).这可能与SAML有关吗?
执行单点注销时,没有标准方法可以排除IDP会话的终止.同时终止与单个会话参与者(单个服务提供者)的会话,同时保持其他会话参与者的打开,这明显超出了SAML 2.0 Single Logout配置文件的范围(参见saml-profiles-2.0-os.pdf,第1139-1143行) .所以这不是要走的路.
但还有另一种解决方案.您可以在服务提供商处使用本地注销(例如,只是使本地HTTP会话无效),并在将AuthnRequest发送到IDP时将其与属性ForceAuthn结合使用(请参阅saml-core-2.0-os,第2042行).将ForceAuthn属性设置为true会强制身份提供程序对用户进行身份验证,即使在存在IDP会话时也是如此.
整个流程可能如下所示:
将ForceAuthn标志设置为true可以有效地禁用单点登录,因此您可能希望使用某些SP端逻辑来确定是否使用该标志.
设置了标志的有效请求的示例如下:
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest AssertionConsumerServiceIndex="0"
AttributeConsumingServiceIndex="myServiceID"
Destination="https://idp.ssocircle.com:443/sso/SSOPOST/metaAlias/ssocircle"
ForceAuthn="true" ID="a228aje276h0id1g48eihj5gfj9h8bi"
IsPassive="false" IssueInstant="2014-04-11T22:07:05.438Z"
Version="2.0" xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">urn:test:sp</saml2:Issuer>
</saml2p:AuthnRequest>
| 归档时间: |
|
| 查看次数: |
1037 次 |
| 最近记录: |