Single Logout

Beachten Sie bitte, dass die SLO-Bindings in den IdP-Metadaten verfügbar sein müssen!
(Siehe hierzu auch unter Vorbereitung Metadaten)

Da wir im vorherigen Schritt das Speichern von Session-Informationen so umgestellt haben, dass eine lokale SQL-Datenbank verwendet wird, kann nun auch SLO im IdP aktiviert werden:

/opt/shibboleth-idp/conf/idp.properties
# Track information about SPs logged into
idp.session.trackSPSessions = true
 
# Support lookup by SP for SAML logout
idp.session.secondaryServiceIndex = true
 
# damit der User eine ausführliche Logout-Rückmeldung vom IdP bekommt:
 
# Whether to lookup metadata, etc. for every SP involved in a logout
# for use by user interface logic; adds overhead so off by default.
idp.logout.elaboration = true

Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):

root@idp:~# service tomcat8 restart

Die Logout-Seite enthält eine Bemerkung der Shibboleth-Entwickler, dass die Seite angepasst werden soll. Diese Bemerkung sollte ersetzt oder zumindest deaktiviert werden. Löschen Sie die entsprechenden Zeilen oder kommentieren Sie diese wie folgt aus (oder ersetzen Sie den Text durch einen eigenen, sofern Sie Ihren Usern an dieser Stelle etwas mitteilen möchten):

./views/logout.vm
  <!-- ... -->
  <div class="content">
    <div class="column one">
      <!--
      <p>This page is displayed when a logout operation at the Identity Provider completes. This page is an example
      and should be customized. It is not fully internationalized because the presentation will be a highly localized
      decision, and we don't have a good suggestion for a default.</p>
      <br>
      -->
      #if ( $logoutContext and !$logoutContext.getSessionMap().isEmpty() )
  <!-- ... -->

Diese Änderung wird ohne Neustart wirksam.

Testen Sie die Logout-Funktionalität mithilfe des DFN-Test-SP2. Nach dem Login finden Sie unterhalb der Attribute den „Logout“-Link welcher Sie zum IdP zurückleiten sollte. Dort sollte dann die Erfolgsmeldung über das erfolgte Logout angezeigt werden.

Achtung: Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren, bitte in der Apache-Konfiguration prüfen, dass die richtige X-FRAME-OPTION „SAMEORIGIN“ gesetzt ist, siehe auch HTTP Server.

Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die Dokumentation im Shibboleth-Wiki.

Besonderheit IIS-basierter SP
IIS liefert beim Logout einen HTTP-Fehler 404 zurück:

Testen Sie nochmal einen Login mithilfe der DFN-Test-SP(s) und überzeugen Sie sich dass Single Logout funktioniert.

Weiter geht es mit dem Secret-Key-Management.

  • Zuletzt geändert: vor 20 Monaten