Single log out
(Reindirizzamento da Shibboleth-sp logout)
Single Log Out
Modifiche lato shibboleth-sp
Da impostazione predefinita, non c'è bisogno di nessuna modifica nello shibboleth2.xml.
Bisogna controllare che il metadato dello shibboleth-sp abbia almeno un binding SingleLogoutService:
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://sp.unimore.it/Shibboleth.sso/SLO/SOAP"/> <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sp.unimore.it/Shibboleth.sso/SLO/Redirect"/> <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sp.unimore.it/Shibboleth.sso/SLO/POST"/> <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sp.unimore.it/Shibboleth.sso/SLO/Artifact"/>
potrebbe bastare lo HTTP-POST.
Bottoni di logout
I bottoni di logout sono dei semplici link:
- https://sp.unimore.it/Shibboleth.sso/Logout: local and SLO Logout
- https://idp.unimore.it/idp/profile/Logout: remote Logout
Nel secondo link appare un form che chiede se fare il logout solo dallo shibboleth-sp di provenienza o da tutti quanti. In pratica sembrano equivalenti tutti.
Sessioni
Le sessioni da resettare per il logout sono tre:
- sessione dell'IdP;
- sessione dello SP;
- sessione dell'applicazione (php, rails ecc).
Logicamente i link di logout gestiscono solo le prime due; se è necessario svuotare la sessione dell'applicazione e come farlo dipende da applicazione ad applicazione.