问题描述
我们的javaspring应用程序(sp)允许客户端进行SSO集成。我们计划引入SLO(单一注销)作为安全审核要求的一部分。
我有一个疑问,如果我们的应用程序要求SLO进行idp验证,那么特定客户的所有其他打开的应用程序都会被注销?
我们不想由于我们的应用程序而使客户的其他应用程序注销。
请告知。如果SAML SLO请求仅影响请求注销的服务提供者或客户SSO登录的所有服务提供者?
解决方法
通常,单次注销(SLO)将从一个SP到IdP级联,再回到另一个SP的所有相关子会话。根据您使用的IdP,您可能可以控制/更细粒度,但必须小心,不要对任何攻击(在孤立会话中)开放自己。
根据SAML规范,IdP必须通知所有其他会话参与者。
有关https://medium.com/@BoweiHan/elijd-single-sign-on-saml-and-single-logout-624efd5a224的更多信息,请查看