如何使siteminder会话无效

Question

我们使用Siteminder进行身份验证，我们使用的是角js，这是无状态的。

如何使Siteminder会话无效。我已经在Security中配置了下面的内容。但这对我不起作用。

在HTML中

   <a href="../../logout">Sign Out</a></li>

春季安全

  <logout delete-cookies="JSESSIONID,SMSESSION" invalidate-session="true"  logout-url="/logout" logout-success-url="/Logout.html" />

在Logout.html中，我们提供了一个链接来再次登录页面。单击此按钮时，应该转到siteminder登录页面。但是它正在加载我们的欢迎页面。

我们正在考虑使SMSESSION失效，以便该应用程序将重定向到siteminder，点击“转到登录页”。有人能帮我吗。

Update1 I尝试在机器人请求和rest控制器的响应对象中设置SMSESSION=LOGGEDOFF。但是它没有工作，因为没有保持角度的会话，而在请求/响应中设置它们对我没有帮助。

Answer 1

首先，HTTP跟踪将有助于在实践中诊断这个问题。

现在，理论上:如果不使用Siteminder会话存储，而CookieProviders不使用，则从客户端删除SMSESSION cookie是注销用户的有效方法。否则，它使会话在Siteminder一侧仍然处于活动状态。

适当的，Siteminder支持的方法是这样做的：

您的Siteminder管理员应该能够为您提供一个URI，该URI将触发正确的Siteminder Logout。这个URI是在涉及的代理ACO的参数LogoffUri中配置的。

当任何具有活动Siteminder会话的用户到达此URI时，Siteminder Webagent和策略服务器将：

• 使Siteminder会话存储中的会话数据无效，如果配置了它(默认情况下没有)
• 如果使用CookieProvider，它将触发适当的重定向以从所有其他cookie域删除cookie。
• 在响应中添加"Set-Cookie: SMSESSION=LOGGEDOFF“标题(如果重定向到登录页面，则为302；如果页面不受保护，则为200 )。这将使客户端的SMSESSION无效。
• 应用已定义的Siteminder策略，如果有的话(如果URI受到保护，则身份验证方案将应用，否则，底层WebServer将处理页面)

当用户没有有效的SMSESSION (而" loggedoff“不是有效的SMSESSION)时，他被认为是实际的loggedoff。

官方文档在这里(并不是说它有很大帮助.) Files/HTML/idocs/index.htm?toc.htm?agent-guide.html