GakuNinShare

スペース ショートカット

子ページ
  • Full SLO(Single Logout)の設定方法

比較バージョン

古いバージョン 18

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 19

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

パネル

https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移

認証セッションが確立している全てのSPがログアウト対象として一覧に表示されます。
メタデータに<SingleLogoutService>が追加されていない(Full SLOに対応していない)SPも表示されますがログアウトは実施されません。

 

Section
Column

a) 上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移

Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。
上の画面例でが表示されているSPは、SP側で保持しているIdPメタデータに<SingleLogoutService>が存在しないためFull SLOが実行できない環境でした。

Column

b) 上記画面で No を選択後の画面遷移

IdPからはログアウトされますがSPからはログアウトされません。

注意

IdP 3.2.1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています)

本件はIdP 3.3.0で修正されています。

参考: IDP-892IDP-956

--
Image Removed

注意

SPのSLO対応について、Shibbolethセッションを使ってWebアプリケーションを構成している場合はこの手順で完了ですが、Webアプリケーションで独自のセッションを管理している場合、Shibbolethセッションと連動させるためにいくつかの改修が必要です。

  1. アプリケーションセッション中でもShibbolethセッションがなくなっていればセッションを終了させる。
  2. Webアプリケーションにおけるログアウトのタイミングで/Shibboleth.sso/Logoutを呼ぶ。
    参考: GakuNinShare - 設定・運用・カスタマイズ - WebアプリケーションのログアウトフローへのShibbolethログアウト処理の挿入
  3. (SLOの通知を受けセッションを破棄する)
    参考: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNotify
    ※これがなくても次回アクセス時に1.の処理でセッションは破棄されるはずです。厳密なセッション管理を行うなら。

参考: https://wiki.shibboleth.net/confluence/display/SHIB2/SLOWebappAdaptation

注意

なお、SLOに対応したIdP/SPを運用している場合、SP証明書が署名用途で用いられる、およびIdP証明書が暗号化用途で用いられる可能性があるため、証明書の更新時にはより一層の注意を払っていただく必要があります。

注意

IdP 3.3.1より前のバージョンではIE / EdgeでのSLOに問題があることが分かっています。最新バージョンをお使いください。
参照: IdPv3アップデートに関する情報

注意

IdP 3.2.1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています)

本件はIdP 3.3.0で修正されています。

参考: IDP-892IDP-956

--
Image Added

 

参考: