当前位置: 首页 > 知识库问答 >
问题:

当SLO配置文件未启用时,SAML LogoutRequest的用法是什么?

岳嘉良
2023-03-14

单一注销(SLO)下的SAML核心(SAML-Core-2.0-os:3.7.1)和SAML配置文件(SAML-Profiles-2.0-os:4.4.3.1)规范中提到了“LogoutRequest”。SLO需要“sessionIndex”才能工作,否则无法映射会话参与者。然而,根据核心规范,sessionIndex是一个可选元素。因此,这意味着即使SLO配置文件未启用/不受支持,也可以发送LogoutRequests。

是的,我知道SAML可以用于许多安全用途——不仅仅是单点登录。但是,在SAML单点登录场景中,如果没有启用SLO,似乎只要向身份提供者(IdP)注销endpoint发送任何请求(除了SAML LogoutRequest)就足以使这个会话无效。如果我没记错的话,销售力量和谷歌应用就是这样做的。

在这种场景中涉及SAML LogoutRequest似乎是一种处理浪费。有人可能会争辩说,使用签名登录请求可以确保请求由受信任方发送,但实际上,网络罪犯只想登录,而不是注销。

但是,一些SAML SSO提供程序在非SLO场景中支持LogoutRequest。这有什么有用性?

共有1个答案

苍轶
2023-03-14

如果SLO是使用重定向完成的,那么可以说不需要LogoutRequest,但是确定SLO请求是由使用签名的受欺骗方发送的是一个很好的做法。如果你不需要,允许你不信任的方采取行动是个坏主意。

在同步SOAP用于SLO的情况下。需要该请求来标识具有essionindex的会话。

但是,一些SAML SSO提供程序在非SLO场景中支持LogoutRequest。这有什么有用性?

您的意思是提供者发出会话索引属性吗?会话索引不仅用于SLO请求,还用于身份验证。但我认为大多数提供者之所以包括这个,只是因为他们支持SLO,并默认生成这个sessionindex。即使接收方不使用它。

 类似资料:
  • 我们在我的应用程序中构建SSO,以便使用SAML 2.0登录。在这里,我想建立IDP启动的SLO用于注销。 问题1.我们需要在IDP中做什么配置来启动SLO? 请你帮帮我

  • 问题内容: 这是我当前的项目结构: 我在两个文件(和)中都有非常相似的配置参数,这看起来很奇怪,但这就是我在许多在线示例和教程中看到的。我不明白为什么我需要两个文件。是否可以只与一个人一起工作?请解释。 ps。例如,我应该在两个文件中声明,还是只声明一个就足够了?如果是这样,使用哪个? 问题答案: 如果您使用的是Hibernate的专有API,则需要使用。如果您使用的是JPA,例如Hibernat

  • 我最近将phpMyAdmin版本更新为。在此之后,我有一些错误,我设法修复,但一个仍然存在。我得到一个信息: 配置文件现在需要一个秘密密码短语(blowfish_secret)。 我检查了文件,发现有这个部分 所以我检查了文件并对其进行了编辑。现在看起来是这样的。 我确保所有的文件都在组中,并且至少有至少 我甚至在中添加了的行,以确保它在那里。 但是错误仍然存在。因此,由于某种原因,phpMyAd

  • 如果我为上面的集合选择作为分区键,这意味着它将创建100万个逻辑分区(并且没有基数)。是分区密钥的合适候选项吗?我可以选择分区键作为或文档中的任何其他键,以具有良好的基数;但是它会在查询中产生问题,因为它们将是基于的跨分区扫描来过滤文档。 对于上面文档的适当分区键应该是什么有什么建议吗?

  • 问题内容: 我的配置文件位于: 我像这样开始redis: 如何启动Redis,以便它使用我的配置文件? 另外,我讨厌与试图找到一个将其关闭的pid混为一谈。如何通过进入根目录并仅运行一个命令来关闭服务器? 使用puma应用程序服务器,您可以运行以下命令: 并从conf推断pid。Redis可以一样吗? 另外,我还使用了来自redis网站的此复制粘贴的conf: 我已经对其进行了调整,以使其在启动时

  • 我们使用JDBC源连接器将数据从表同步到Kafka中的主题(称为主题1)。正如我们所知,这只捕获插入和更新,我们添加了一个触发器来捕获删除。此触发器捕获删除的记录并写入一个新表,该表与另一个Kafka主题(称为主题2)同步。 我们已经将JDBC源连接器配置为使用AvroConverter。 现在,我们已经编写了一个Kafka streams逻辑,它使用本主题2中的数据并发布到主题1。我的问题是Ka