<- de:shibidp:config-storage| Server-Side-Storage und persistentId ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-sealer|Secret-Key-Management -> ====== Single Logout ====== Die Single Logout-Bindings müssen in den IdP-Metadaten eintragen sein, wie unter [[de:shibidp:install#vorbereitung_metadaten|Vorbereitung der IdP-Metadaten]] beschrieben. ===== Aktivierung von SLO ===== Da wir im vorherigen Schritt das [[de:shibidp:config-storage#session-informationen_und_user_consent|Speichern von Session-Informationen]] so umgestellt haben, dass eine lokale SQL-Datenbank verwendet wird, kann nun auch Single Logout (SLO) im IdP aktiviert werden: # Track information about SPs logged into idp.session.trackSPSessions = true # Support lookup by SP for SAML logout idp.session.secondaryServiceIndex = true # damit der User eine ausführliche Logout-Rückmeldung vom IdP bekommt: # Whether to lookup metadata, etc. for every SP involved in a logout # for use by user interface logic; adds overhead so off by default. idp.logout.elaboration = true Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): root@idp:~# systemctl restart tomcat9 ===== Anpassen der Logout-Seite ===== Die Logout-Seite enthält standardmäßig eine Bemerkung der Shibboleth-Entwickler, dass die Seite angepasst werden sollte. Löschen Sie die entsprechenden Zeilen, kommentieren Sie sie wie folgt aus oder ersetzen Sie den Text durch einen eigenen:
#if ( $logoutContext and !$logoutContext.getSessionMap().isEmpty() ) Diese Änderung wird ohne Neustart wirksam. ===== SLO-Test ===== Testen Sie die Logout-Funktionalität mithilfe des [[https://testsp2.aai.dfn.de/|DFN-Test-SP2]]. Nach dem Login finden Sie unterhalb der Attribute den "Logout"-Link welcher Sie zum IdP zurückleiten sollte. Dort sollte dann die Erfolgsmeldung über das erfolgte Logout angezeigt werden. **Achtung:** Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren, prüfen Sie bitte, ob in der Apache-Konfiguration die X-FRAME-OPTION "SAMEORIGIN" gesetzt ist, siehe auch [[de:shibidp:prepare-http#vhost-konfiguration|HTTP Server]]. Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die [[https://wiki.shibboleth.net/confluence/display/IDP4/LogoutConfiguration|Dokumentation im Shibboleth-Wiki]]. ===== Besonderheit IIS-basierter SP ===== FIXME prüfen! IIS liefert beim Logout einen HTTP-Fehler 404 zurück: * Entweder die Konfiguration des IIS anpassen, wie unter https://support.microsoft.com/en-us/kb/942071 beschrieben * In der Metadatenverwaltung beim IdP das HTTP-Redirect Binding für Single Logout entfernen ([[https://issues.shibboleth.net/jira/browse/SSPCPP-637|SSPCPP-637]]) Testen Sie nochmal einen Login mithilfe der DFN-Test-SP(s) und überzeugen Sie sich dass Single Logout funktioniert. {{tag>idp4 tutorial slo single-logout}}