GakuNinShare

スペース ショートカット

子ページ
  • Full SLO(Single Logout)の設定方法

比較バージョン

古いバージョン 7

changes.mady.by.user Daisuke Fujimoto

保存しました

次と比較

新しいバージョン 8

changes.mady.by.user Daisuke Fujimoto

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

パネル
title/opt/shibboleth-idp/conf/idp.properties の設定

# Configuration of client- and server-side storage plugins
#idp.storage.cleanupInterval = PT10M
idp.storage.htmlLocalStorage = true ← アンコメントして変更

# Set to true to expose more detailed errors in responses to SPs
(省略)
# Track information about SPs logged into
idp.session.trackSPSessions = true ← アンコメントして変更
# Support lookup by SP for SAML logout
idp.session.secondaryServiceIndex = true ← アンコメントして変更
# Length of time to track SP sessions
#idp.session.defaultSPlifetime = PT2H

また、SLOとして必須ではありませんが、以下の箇所を変更することでSLO実行時に画面に表示されるSPの情報がURLからメタデータ由来のページ名に変化します。また、SLOとして必須ではありませんが、以下の箇所を変更することでSLO実行時に画面に表示されるSPの情報がURLからメタデータ由来のDisplayNameに変化します。

パネル
title/opt/shibboleth-idp/conf/idp.properties の変更

# Whether to lookup metadata, etc. for every SP involved in a logout
# for use by user interface logic; adds overhead so off by default.
idp.logout.elaboration = true ← アンコメントして変更

パネル
titleidp.logout.elaboration の影響
Section
Column

idp.logout.elaboration=false の場合

Image Modified

Column

idp.logout.elaboration=true の場合

Image Modified

SPの設定

shibboleth2.xmlの設定

SPでのログアウトをトリガーとしてSLOを駆動するためには、shibboleth2.xmlのSessions要素内のLogout要素に以下のように"SAML2"が設定されている必要があります。デフォルト設定ですので、変更していない場合は追加設定は不要ですが、"SAML2"の部分が削除されている場合は追加してください。

...

また、他のSPからログアウトするためには、そのSP側で、前述したSPのメタデータへの<SingleLogoutService>の追加が実施されている必要があります。

パネル

https://SPのホスト名/Shibboleth.sso/Logout にアクセス後の画面遷移

Image Modified

ログアウト対象となるSPの一覧が表示されますがアクセスしたSPは表示されません。

 

Section
Column

上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移

Image Modified

Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。

Column

上記画面で No を選択後の画面遷移

Image Modified

アクセスしたSP及びIdPからはログアウトされますが他のSPからはログアウトされません。

 

https://SPのホスト名/Shibboleth.sso/Logout にアクセスした際に他のSPにログインしていない場合の画面遷移

Image Modified

 

IdP-initiatedのSLO

ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトします。

...

この操作によりSPからログアウトするためには、SP側で、前述したSPのメタデータへの <SingleLogoutService> の追加が実施されている必要があります。

パネル

https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移

Image Modified

ログアウト対象となる認証セッションが確立している全てのSPが一覧に表示されます。

 

Section
Column

上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移

Image Modified

Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。

Column

上記画面で No を選択後の画面遷移

Image Modified

IdPからはログアウトされますがSPからはログアウトされません。

...