PingFederateのcookielessアプリケーションからのSLOの仕組み

私はPingFederateを使ってSLOにしようとしています。 SPアプリの1つは、クッキーレスセッションを使用するように設定されています。このPingFederateのSPアプリケーションは、ログアウトURLが「http://site/logout.aspx」であるように設定されていますが、SLOプロセスがトリガーされると、PingFederateはブラウザをこのURLにリダイレクトしますSSOが最初に作られた時に生まれたものよりも。 SSOプロセスで作成されたセッションを再利用してSPのログアウトページにリダイレクトするようにPingFederateを設定するにはどうすればよいですか?

編集:私は何か言及することを忘れて申し訳ありません。実際にIdPとSPの両方のアプリケーションはASP.NETで開発されており、cookielessではSPアプリケーションがweb.configファイルに次のセッション状態設定

    

このsessionState設定では、http:// site(S(pvvofbemnrmaixo2emaaeo0t))/Home.aspx 'のようなURLが表示され、SSOでは' http://site/Home.aspx '新しいセッションが作成されます。したがって、SLOプロセスによってSPのログアウトURL(http://site/logout.aspx)が呼び出されると、 "(S(blahblah))"を含むようにURLが置き換えられます。 SPサイトが生成されます(SSOによって最初に作成されたサイトとは異なります)。その結果、元のSPサイトセッションは終了しません。

1
コードセクションをフォーマットしてください。
追加された 著者 leppie,

1 答え

「cookielessセッションを使用するように設定されています」と言えば、アプリケーション自体が状態を維持するためにCookieを使用しないということですか?そうであれば、セッションはURLの書き直しを通じてどのように維持されますか?

私はあなたがPingアイデンティティ統合キット(例:Open Token integration)を介してアプリケーションにログインしていると仮定します。 Java統合キット(例)では、SP統合アプリケーションでSLOを実行するために、次のサンプルコードが提供されています。

request.getSession().invalidate();
String returnUrl = “https://:9031” + request.getParameter(“resume”);
response.sendRedirect(returnUrl);

実際にはJ2EEアプリケーション内のセッション管理に依存しています。それがアプリケーションへの新しいエントリーポイントであるならば(IdPがSLOのために潜在的にそうであるように)、その状態情報を維持するためにおそらくクッキーが必要になるでしょう。

SPアプリケーション統合コードでは、セッション情報をクッキーに保存することはできないので、後で無効にすることはできますか?さもなければ、SLOを達成するのはややこしいことです。これはPingFederateの質問ではありません。ユーザーがアプリケーションに直接アクセスし、既にログインしているときにアプリケーションのユーザー状態をどのように維持するかという問題です。

1
追加された
説明をありがとう。私の元の推薦は立っています。統合コード(SSO用)では、セッション状態を何らかの形で保存する必要があります。その結果、要求がアプリケーションのSLOエンドポイントに戻ったときに(リンク内の通常のセッション情報なしで)アプリケーションが解決できるようになります。繰り返しますが、これは特別なSSOセッションCookieに貼り付けるのが最も簡単な方法です。 SLOリクエストが来たら、このクッキーをチェックし、アプリケーションログアウトにリダイレクトしてください:サイト(S(<セッション値 - 読み込みからsso-cookie>))/ Logout.aspx
追加された 著者 Scott T.,
申し訳ありませんが、私は自分自身を非常に明確にしませんでした。元の質問を編集して詳細を追加するだけです。
追加された 著者 Andre Ariano,