用户从simpleSAMLphp注销的正确方法是什么？

Question

我们在IdP端使用SimpleSAMLphp作为SAML实现。有一个SP配置为通过IdP对用户进行身份验证。我的问题是关于注销过程。当用户从SP注销时，IdP会话仍然存在。如果我再次尝试登录到SP，它会将当前会话用于IdP，并且不会请求凭证。我如何从IdP注销用户？我知道我可以配置SingleLogoutService，但SP不支持它。 simpleSAMLphp是否提供用户友好的注销页面？什么是最佳实践？

Answer 1

如果SP不支持SLO，那么您就是SOL。抱歉。无法抗拒。

说真的，虽然......并不是很多SP支持SLO。这是有原因的 - 只需要一个SP不支持它，或者无法处理SLO请求，并且它“打破了链条”。

如果SP支持在注销后将用户重定向到页面，则可以将其配置为重定向到IdP的身份验证方法的注销页面以使该令牌失效......但是，至于在IdP本身销毁实际会话，处理这个问题的最好方法是使其成为一个短暂的会话（强制验证服务会话的重新验证）。

最终，确保您希望支持注销请求（超出浏览器会话）。