Chcę zaimplementować SAML P w aplikacji internetowej jako dostawca usług SAML. Zastanawiam się, jak moja aplikacja może wiedzieć, że użytkownik X wylogował się z IdP?
Przeczytałem, że IdP może emitować transmisję, gdy użytkownik wyloguje się bezpośrednio z IdP lub z innego SP, ale IdP, którego używam, nie nadaje żadnej transmisji.
Czy powinienem przekierować do IdP w Application_AuthenticateRequest obsługa zdarzeń?
Odpowiedzi:
1 dla odpowiedzi № 1Słyszałeś dobrze: Dostawca tożsamości musi wysłać LogoutRequest do wszystkich dostawców ServiceProvider w sesji (na adres URL wylogowania zarejestrowany przez SP w IdP) - patrz strona 37 z http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.pdf. W SAML nie ma innego standardowego sposobu, w jaki SP może deterministycznie wiedzieć o wylogowaniu użytkownika.
Czy zarejestrowałeś swój adres URL wylogowania w IdP?