wso2is SingleLogoutProfile POST绑定

Question

我想知道wso2is在多大程度上符合saml2 SSO规范。特别考虑SingleLogoutProfile与POST绑定。在一个SP启动注销后，IS也标识要注销的参与SPs，并通过HTTP直接向每个SP发送一个LogoutRequest。

贝娄我正在复制来自规范(第1161项)的图像。注意步骤3，也注意到灰色的用户代理.由于SOAP绑定绕过用户代理并直接向会话参与者发送请求，所以它变得灰暗。但是，后绑定应该与用户代理！( 第765项)的参与一起工作。

​

​

我使用wso2is 4.6.0和扩展RC2。当春季扩展接收到一个LogoutRequest (步骤3)时，它假设有一个登录用户，只有当http-请求来自用户代理时才能这样做！否则，SPs必须维护某种类型的表，将全局会话ids链接到本地会话ids，并在接收到注销请求时查找要终止的会话。这个博客中也推荐这种方法。

所以，要么我误解了saml-2规格，要么wso2的家伙是！我宁愿相信是我，所以请有人启发我！

Answer 1

HTTP-POST是一个前端通道绑定，它的消息交换必须通过用户代理并使用HTML表单。

如果wso2is直接对SingleLogout端点进行POST调用(类似于SOAP绑定--没有用户代理的参与)，不幸的是，它们没有遵循规范。这可能会导致互操作性问题，就像您正在经历的问题一样。