【发布时间】:2017-02-14 23:41:09
【问题描述】:
我正在寻找全局架构注销的文档,我查看了一些链接,但我有一个找不到的场景。 如果 SP 的本地会话过期会怎样?我做了一个实验,我注意到当本地会话超时时,安全上下文会丢失。在此架构中,本地会话超时不应过期(SP)?
如果你有这个场景的文档链接,无限感谢!!
【问题讨论】:
标签: spring security global logout saml-2.0
【发布时间】:2017-02-14 23:41:09
【问题描述】:
在 SAMLv2 中,没有关于会话关联的真正概念。 IdP 发出的 SAML 断言确实有一个有效性集(条件属性“NotBefore”和“NotOnOrAfter”必须由 SP 检查)。实际上,SP 应该在断言超时之前查询 IdP(使用所谓的“被动 AuthnRequest”)以检查 IdP 上的会话是否仍然有效。
一些 IdP 实现具有专有扩展,可在 IdP 会话超时时通知 SP,但这主要需要 SP 支持 SOAP 绑定,因为它发生在“带外”(没有用户代理交互)。
解决您的问题 .... 本地会话的(空闲)超时必须高于 IdP。
【讨论】: