...
パネル | ||||||
---|---|---|---|---|---|---|
https://SPのホスト名/Shibboleth.sso/Logout にアクセス後の画面遷移 SP-initiatedのSLO実行時でもIdPの画面に遷移します。
https://SPのホスト名/Shibboleth.sso/Logout にアクセスした際に他のSPにログインしていない場合の画面遷移 アクセスしたSP及びIdPからのログアウトが実施されSLOが完了します。IdPの画面で完了するのは Async SLOの挙動であり、SPの設定で大元のSPの画面への遷移を強制することも可能です。 |
...
IdP-initiatedのSLO
ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトしようとします。
...
パネル | ||||||
---|---|---|---|---|---|---|
https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移 認証セッションが確立している全てのSPがログアウト対象として一覧に表示されます。
|
注意 |
---|
SPのSLO対応について、Shibbolethセッションを使ってWebアプリケーションを構成している場合はこの手順で完了ですが、Webアプリケーションで独自のセッションを管理している場合、Shibbolethセッションと連動させるためにいくつかの改修が必要です。SPのSLO対応について、Shibbolethセッションを使ってWebアプリケーションを構成している場合はこの手順で完了ですが、Webアプリケーションで独自のセッションを管理している場合、Shibbolethセッションと連動させるために以下に挙げた改修が必要です。
参考(SP2): https://wiki.shibboleth.net/confluence/display/SHIB2/SLOWebappAdaptation |
注意 |
---|
なお、SLOに対応したIdP/SPを運用している場合、SP証明書が署名用途で用いられる、およびIdP証明書が暗号化用途で用いられる可能性があるため、証明書の更新時にはより一層の注意を払っていただく必要があります。 |
...
注意 |
---|
IdP 3.2.1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています) 本件はIdP 3.3.0で修正されています。 -- |
...
参考: