GakuNinShare

スペース ショートカット

子ページ
  • Full SLO(Single Logout)の設定方法

比較バージョン

古いバージョン 20

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 21

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

パネル

https://SPのホスト名/Shibboleth.sso/Logout にアクセス後の画面遷移

SP-initiatedのSLO実行時でもIdPの画面に遷移します。
認証セッションが確立しているSPがログアウト対象として一覧に表示されますがアクセスしたSPは表示されません。
メタデータに<SingleLogoutService>が追加されていない(Full SLOに対応していない)SPも表示されますがログアウトは実施されません。

 


Section
Column

a) 上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移

Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。
上の画面例でが表示されているSPは、SP側で保持しているIdPメタデータに<SingleLogoutService>が存在しないためSP-initiatedのSLOが実行できない環境でした。

Column

b) 上記画面で No を選択後の画面遷移

アクセスしたSP及びIdPからはログアウトされますが他のSPからはログアウトされません。

 


https://SPのホスト名/Shibboleth.sso/Logout にアクセスした際に他のSPにログインしていない場合の画面遷移

アクセスしたSP及びIdPからのログアウトが実施されSLOが完了します。IdPの画面で完了するのは Async SLOの挙動であり、SPの設定で大元のSPの画面への遷移を強制することも可能です。

...


IdP-initiatedのSLO

ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトしようとします。

...

パネル

https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移

認証セッションが確立している全てのSPがログアウト対象として一覧に表示されます。
メタデータに<SingleLogoutService>が追加されていない(Full SLOに対応していない)SPも表示されますがログアウトは実施されません。

 


Section
Column

a) 上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移

Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。
上の画面例でが表示されているSPは、SP側で保持しているIdPメタデータに<SingleLogoutService>が存在しないためFull SLOが実行できない環境でした。

Column

b) 上記画面で No を選択後の画面遷移

IdPからはログアウトされますがSPからはログアウトされません。

注意

SPのSLO対応について、Shibbolethセッションを使ってWebアプリケーションを構成している場合はこの手順で完了ですが、Webアプリケーションで独自のセッションを管理している場合、Shibbolethセッションと連動させるためにいくつかの改修が必要です。SPのSLO対応について、Shibbolethセッションを使ってWebアプリケーションを構成している場合はこの手順で完了ですが、Webアプリケーションで独自のセッションを管理している場合、Shibbolethセッションと連動させるために以下に挙げた改修が必要です。

  1. アプリケーションセッション中でもShibbolethセッションがなくなっていればセッションを終了させる。
    (チェックせずに利用している部分があるとそこが抜け穴となりますので、全てのアプリケーションセッション利用でShibbolethセッションの存在をチェックするようご注意ください)
  2. Webアプリケーションにおけるログアウトのタイミングで/Shibboleth.sso/Logoutを呼ぶ。
    参考: GakuNinShare - 設定・運用・カスタマイズ - WebアプリケーションのログアウトフローへのShibbolethログアウト処理の挿入
  3. (SLOの通知を受けセッションを破棄する)
    参考: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNotify
    ※これがなくても次回アクセス時に1.の処理でセッションは破棄されるはずです。厳密なセッション管理を行うなら。

参考(SP2): https://wiki.shibboleth.net/confluence/display/SHIB2/SLOWebappAdaptation
参考(SP3): https://wiki.shibboleth.net/confluence/display/SP3/Notify

注意

なお、SLOに対応したIdP/SPを運用している場合、SP証明書が署名用途で用いられる、およびIdP証明書が暗号化用途で用いられる可能性があるため、証明書の更新時にはより一層の注意を払っていただく必要があります。

...

注意

IdP 3.2.1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています)

本件はIdP 3.3.0で修正されています。

参考: IDP-892IDP-956

--

...


参考: