如何将SP启动的注销请求配置为对sustainsys.saml2使用http-post？

Question

我正在尝试通过web.config配置sustainsys.saml2，以便从SP发出带有嵌入签名的注销请求。我的理解是这种类型的logoutrequest使用http-post绑定。查看我对SP元数据的初始设置，SP与http-redirect绑定在一起，如第一张图片所示：

singlelogoutservice from sp metadata

我为什么要绑定http-post是因为某些原因，当IDP (OKTA)收到注销请求时，他们会响应为"authnfailed“。根据我们MFA团队的OKTA日志，它显示：

用户从应用程序单点登出

失败:颁发者不匹配

根据我们的MFA团队，他们的注销请求没有签名。在进一步讨论之后，IDP期望签名被嵌入到logoutrequest xml中，即http-post。我可以确认http-redirect正在请求中发送签名。虽然同时，他们提供的IDP元数据，似乎他们可以处理http-redirect，如第二张图片所示：

singleoutservice from IDP metadata

在我使用dev sandbox进行本地开发期间，我没有遇到http-redirect的问题。这在我们的开发/单元测试web服务器上正在发生。所有证书都已设置。我们使用来自xml文件的本地IdP元数据。我只是想尝试一下http-post的绑定，看看它是否解决了这个问题，只是看起来不能通过绑定发送。下面是configuration的配置。

sustainsys web.config configuration

注意，我使用的是asp.net web forms应用程序的sustainsys.saml2 Note模块设置。

在这个SP/IDP的世界里，我还是个新手，但我确实学到了很多。任何帮助或建议都将不胜感激。

Answer 1

我也遇到了“颁发者不匹配”的失败。在我的例子中，它是"SP Issuer“配置设置。

SP颁发者-应用程序的标识符。这可以是ACS URL或SP实体ID。此值也包含在从SP应用程序发送的SLO请求中的元数据中。

https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Single_Logout.htm

我将其设置为SP实体ID，这让Okta很高兴。