当我使用WS-Federation协议并从我的应用程序(服务提供商)注销端点http://pingserver.com:Port/idp/prp.wsf?wa=wsignout1.0时,我会被重定向到Ping提供的IdP注销模板。
但是,当我使用SAML协议并从我的应用程序(服务提供商)注销端点http://pingserver.com:Port/idp/SLO.saml2?SAMLRequest=时,我被重定向到SP注销页面。
我在Ping端使用相同的IdP适配器,然后为什么不同的行为。不应该以同样的方式处理最后一个动作吗?
答案 0 :(得分:1)
原因在于标准之间的差异。
根据WS-Federation standard(第13.2.4.1章),端点应支持参数 wreply ,其行为如下:
此OPTIONAL参数指定一次清理时返回的URL (退出)已完成。如果未指定此参数,则 在清理之后,通过返回任何特定于领域的数据来完成GET 如表示清理的字符串已完成。
因此,当未指定时,Ping正在提供可自定义的默认注销页面(sourceid-wsfed-idp-signout-cleanuptemplate.html)。
SAML 2.0明确定义在SP初始化的SLO中,用户使用SingleLogout消息将用户重定向回SP,因此Ping会遵循这一点。