...
パネル | ||
---|---|---|
| ||
|
また、SLOとして必須ではありませんが、以下の箇所を変更することでSLO実行時に画面に表示されるSPの情報がURLからメタデータ由来のページ名に変化します。
パネル | ||
---|---|---|
| ||
|
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
SPの設定
shibboleth2.xmlの設定
SPでのログアウトをトリガーとしてSLOを駆動するためには、shibboleth2.xmlのSessions要素内のLogout要素に以下のように"SAML2"が設定されている必要があります。デフォルト設定ですので、変更していない場合は追加設定は不要ですが、"SAML2"の部分が削除されている場合は追加してください。
...
また、他のSPからログアウトするためには、そのSP側で、前述したSPのメタデータへの<SingleLogoutService>の追加が実施されている必要があります。
パネル | ||||||
---|---|---|---|---|---|---|
https://SPのホスト名/Shibboleth.sso/Logout にアクセス後の画面遷移ログアウト対象となるSPの一覧が表示されますがアクセスしたSPは表示されません。
https://SPのホスト名/Shibboleth.sso/Logout にアクセスした際に他のSPにログインしていない場合の画面遷移 |
IdP-initiatedのSLO
ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトします。
...
この操作によりSPからログアウトするためには、SP側で、前述したSPのメタデータへの <SingleLogoutService>
の追加が実施されている必要があります。
パネル | ||||||
---|---|---|---|---|---|---|
https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移ログアウト対象となる認証セッションが確立している全てのSPが一覧に表示されます。
|
注意 |
---|
IdP 3.2.1時点では上記操作実行後Webブラウザが次のエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています) 本件はIdP 3.3.0リリースで修正される予定です。 -- Web Login Service - Uncaught Exception A software error was encountered that prevents normal operation: java.lang.IllegalStateException: Exception occurred rendering view org.springframework.web.servlet.view.velocity.VelocityView: name 'logout'; URL [logout.vm] Please report this problem to your Help Desk or administrative staff. It has also been logged for an administrator to review. |
注意 |
---|
SPのSLO対応について、Shibbolethセッションを使ってWebアプリケーションを構成している場合はこの手順で完了ですが、Webアプリケーションで独自のセッションを管理している場合、Shibbolethセッションと連動させるためにいくつかの改修が必要です。
参考: https://wiki.shibboleth.net/confluence/display/SHIB2/SLOWebappAdaptation |
...