...
| パネル |
|---|
</ds:KeyInfo>
</KeyDescriptor>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdPのホスト名/idp/profile/SAML2/POST/SLO"/> ← 追加
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://IdPのホスト名/idp/profile/SAML2/Redirect/SLO"/> ← 追加
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
<SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://IdPのホスト名/idp/profile/Shibboleth/SSO"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdPのホスト名/profile/SAML2/POST/SSO"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://IdPのホスト名
</IDPSSODescriptor> |
| 注意 |
|---|
メタデータ内の要素は並び順が決まっているものがありますので注意してください。特に<IDPSSODescriptor>の子要素については下記の順番となるように<SingleLogoutService>を挿入してください。メタデータ内の要素は並び順が決まっているものがありますので注意してください。特に<IDPSSODescriptor>の子要素については下記の順番となるように<SingleLogoutService>を挿入してください。
<KeyDescriptor><ArtifactResolutionService><SingleLogoutService><NameIDFormat><SingleSignOnService>
| 展開 |
|---|
| title | 全子要素の並び順<IDPSSODescriptor>の全子要素の並び順... |
|---|
| - (ds:Signature)
- md:Extensions
- md:KeyDescriptor
- (md:Organization)
- (md:ContactPerson)
- md:ArtifactResolutionService
- md:SingleLogoutService
- md:ManageNameIDService
- md:NameIDFormat
- md:SingleSignOnService
- md:NameIDMappingService
- md:AssertionIDRequestService
- md:AttributeProfile
- saml:Attribute
|
|
...
| パネル |
|---|
</ds:KeyInfo>
</KeyDescriptor>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SPのホスト名/Shibboleth.sso/SLO/POST"/> ← 追加
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://SPのホスト名/Shibboleth.sso/SLO/Redirect"/> ← 追加
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SPのホスト名
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://SPのホスト名
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://SPのホスト名
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" Location="https://SPのホスト名
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01" Location="https://SPのホスト名
<AttributeConsumingService index="1" isDefault="true">
(省略)
</SPSSODescriptor>
|
| 注意 |
|---|
メタデータ内の要素は並び順が決まっているものがありますので注意してください。特に<SPSSODescriptor>の子要素については下記の順番となるように<SingleLogoutService>を挿入してください。メタデータ内の要素は並び順が決まっているものがありますので注意してください。特に<SPSSODescriptor>の子要素については下記の順番となるように<SingleLogoutService>を挿入してください。
<KeyDescriptor><SingleLogoutService><NameIDFormat><AssertionConsumerService><AttributeConsumingService>
| 展開 |
|---|
| title | 全子要素の並び順<SPSSODescriptor>の全子要素の並び順... |
|---|
| - (ds:Signature)
- md:Extensions
- md:KeyDescriptor
- (md:Organization)
- (md:ContactPerson)
- md:ArtifactResolutionService
- md:SingleLogoutService
- md:ManageNameIDService
- md:NameIDFormat
- md:AssertionConsumerService
- md:AttributeConsumingService
|
|
SLOの実行
SP-initiatedのSLO
ログインしているSPの次のURLにアクセスすることで、接続しているIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトします。上記設定を行ったSPにおいて、ログインしている状態であれば次のURLにアクセスすることで、接続しているIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトしようとします。
| パネル |
|---|
https://SPのホスト名/Shibboleth.sso/Logout |
この操作によりIdPからログアウトするためには、前述したIdPのメタデータへの<SingleLogoutService>の追加が必要です。
この操作によりIdPからログアウトするためには、前述したIdPのメタデータへの<SingleLogoutService>の追加が必要です。
また、他のSPからログアウトするためには、そのSP側で、前述したSPのメタデータへの<SingleLogoutService>の追加が実施されている必要があります。また、他のSPからログアウトするためには、そのSP側で、前述したSPのメタデータへの<SingleLogoutService>の追加が実施されている必要があります。
| パネル |
|---|
https://SPのホスト名/Shibboleth.sso/Logout にアクセス後の画面遷移 
SP-initiatedのSLO実行時でもIdPの画面に遷移します。
認証セッションが確立しているSPがログアウト対象として一覧に表示されますがアクセスしたSPは表示されません。
メタデータに<SingleLogoutService>が追加されていない(IdP-initiatedのSLOに対応していない認証セッションが確立しているSPがログアウト対象として一覧に表示されますがアクセスしたSPは表示されません。
メタデータに<SingleLogoutService>が追加されていない(Full SLOに対応していない)SPも表示されますがログアウトは実施されません。 | Section |
|---|
| Column |
|---|
上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移 
Full SLOに対応しているSPには が表示され、対応していないSPには が表示されます。
上の画面例でImage Modifiedが表示されているSPは、SP側で保持しているIdPのメタデータに<SingleLogoutService>が存在しないためSPが表示されているSPは、SP側で保持しているIdPメタデータに<SingleLogoutService>が存在しないためSP-initiatedのSLOが実行できない環境でした。 |
| Column |
|---|
上記画面で No を選択後の画面遷移 
アクセスしたSP及びIdPからはログアウトされますが他のSPからはログアウトされません。 |
|
https://SPのホスト名/Shibboleth.sso/Logout にアクセスした際に他のSPにログインしていない場合の画面遷移  アクセスしたSP及びIdPからのログアウトが実施されます。
アクセスしたSP及びIdPからのログアウトが実施されSLOが完了します。IdPの画面で完了するのはAsync SLOの挙動であり、SPの設定で大元のSPの画面への遷移を強制することも可能です。 |
IdP-initiatedのSLO
ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトします。ログインしているIdPの次のURLにアクセスすることで、アクセスしたIdP、及びIdPとの間に認証セッションが確立している全てのSPからログアウトしようとします。
| パネル |
|---|
https://IdPのホスト名/idp/profile/Logout |
この操作によりSPからログアウトするためには、SP側で、前述したSPのメタデータへの この操作によりSPからログアウトするためには、SP側で、前述の通りSPメタデータへ <SingleLogoutService> の追加が実施されている必要があります。 が追加されている必要があります。
| パネル |
|---|
https://IdPのホスト名/idp/profile/Logout にアクセス後の画面遷移 
認証セッションが確立している全てのSPがログアウト対象として一覧に表示されます。
メタデータに<SingleLogoutService>が追加されていない(IdP-initiatedのSLOに対応していないメタデータに<SingleLogoutService>が追加されていない(Full SLOに対応していない)SPも表示されますがログアウトは実施されません。 | Section |
|---|
| Column |
|---|
上記画面で Yes を選択、或いは規定の秒数経過後の画面遷移 
Full SLOに対応しているSPにはが表示され、対応していないSPにはが表示されます。
上の画面例でImage Modifiedが表示されているSPは、SP側で保持しているIdPのメタデータに<SingleLogoutService>が存在しないためSP-initiatedのSLOが実行できない環境でした。が表示されているSPは、SP側で保持しているIdPメタデータに<SingleLogoutService>が存在しないためFull SLOが実行できない環境でした。 |
| Column |
|---|
上記画面で No を選択後の画面遷移 
IdPからはログアウトされますがSPからはログアウトされません。 |
|
|
| 注意 |
|---|
IdP 3.2.1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています)1時点では上記操作実行後Webブラウザが次のようなエラーメッセージを表示する画面へ遷移し、SPからのログアウトが実施されません。(IdPからはログアウトされています) 本件はIdP 3.3.0リリースで修正される予定です。 参考: IDP-892、IDP-956 --
 |
...
