...
パネル |
---|
title | /opt/shibboleth-idp/conf/idp.properties の設定 |
---|
|
# Configuration of client- and server-side storage plugins #idp.storage.cleanupInterval = PT10M idp.storage.htmlLocalStorage = true ← アンコメントして変更
# Set to true to expose more detailed errors in responses to SPs (省略) # Track information about SPs logged into idp.session.trackSPSessions = true ← アンコメントして変更 # Support lookup by SP for SAML logout idp.session.secondaryServiceIndex = true ← アンコメントして変更 # Length of time to track SP sessions #idp.session.defaultSPlifetime = PT2H
|
また、SLOとして必須ではありませんが、以下の箇所を変更することでSLO実行時に画面に表示されるSPの情報がURLからメタデータ由来のページ名に変化します。また、SLOとして必須ではありませんが、以下の箇所を変更することでSLO実行時に画面に表示されるSPの情報がURLからメタデータ由来のDisplayNameに変化します。
パネル |
---|
title | /opt/shibboleth-idp/conf/idp.properties の変更 |
---|
|
# Whether to lookup metadata, etc. for every SP involved in a logout # for use by user interface logic; adds overhead so off by default. idp.logout.elaboration = true ← アンコメントして変更
|
パネル |
---|
title | idp.logout.elaboration の影響 |
---|
|
Section |
---|
Column |
---|
idp.logout.elaboration=false の場合 Image Modified |
Column |
---|
idp.logout.elaboration=true の場合 Image Modified |
|
|
SPの設定
shibboleth2.xmlの設定
SPでのログアウトをトリガーとしてSLOを駆動するためには、shibboleth2.xmlのSessions要素内のLogout要素に以下のように"SAML2"が設定されている必要があります。デフォルト設定ですので、変更していない場合は追加設定は不要ですが、"SAML2"の部分が削除されている場合は追加してください。
...
また、他のSPからログアウトするためには、そのSP側で、前述したSPのメタデータへの<SingleLogoutService>の追加が実施されている必要があります。
パネル |
---|
https://SPのホスト名/Shibboleth.sso/Logout にアクセス後の画面遷移 Image Modified ログアウト対象となるSPの一覧が表示されますがアクセスしたSPは表示されません。 Section |
---|
Column |
---|
上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移 Image Modified Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。 |
Column |
---|
上記画面で No を選択後の画面遷移 Image Modified アクセスしたSP及びIdPからはログアウトされますが他のSPからはログアウトされません。 |
|
https://SPのホスト名/Shibboleth.sso/Logout にアクセスした際に他のSPにログインしていない場合の画面遷移 Image Modified |
IdP-initiatedのSLO
ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトします。
...
この操作によりSPからログアウトするためには、SP側で、前述したSPのメタデータへの <SingleLogoutService>
の追加が実施されている必要があります。
パネル |
---|
https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移 Image Modified ログアウト対象となる認証セッションが確立している全てのSPが一覧に表示されます。 Section |
---|
Column |
---|
上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移 Image Modified Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。 |
Column |
---|
上記画面で No を選択後の画面遷移 Image Modified IdPからはログアウトされますがSPからはログアウトされません。 |
|
|
...