Dies ist eine alte Version des Dokuments!


Logout und SLO

Damit SLO am IdP funktioniert muss der Default-Session-Storage (Sessions werden in Browser-Cookies auf dem Client abgelegt) umgestellt werden auf „JPAStorageService“, d.h. auf das Speichern der Session-Informationen in einer lokalen Datenbank. Die Einrichtung dieser DB ist in diesem Wiki beschrieben unter Storage und Persistent Identifier)

Nachdem der JPAStorageService eingerichtet ist, kann SLO im IdP aktiviert werden:

/opt/shibboleth-idp/conf/idp.properties
# Set to "shibboleth.StorageService" for server-side storage of user sessions
idp.session.StorageService = shibboleth.JPAStorageService
 
# Track information about SPs logged into
idp.session.trackSPSessions = true
 
# Support lookup by SP for SAML logout
idp.session.secondaryServiceIndex = true
 
# damit der User eine ausführliche Logout-Rückmeldung vom IdP bekommt:
 
# Whether to lookup metadata, etc. for every SP involved in a logout
# for use by user interface logic; adds overhead so off by default.
idp.logout.elaboration = true

Als Letztes kann der Text welcher dem User nach dem Logout angezeigt wird in ./views/logout.vm angepasst werden.

Achtung: Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren bitte in der Apache-Konfiguration prüfen, dass die richtige X-FRAME-OPTION „SAMEORIGIN“ gesetzt ist, siehe auch HTTP Server.

Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die Dokumentation im Shibboleth-Wiki.

Besonderheit IIS-basierter SP
IIS liefert beim Logout einen HTTP-Fehler 404 zurück:

  • Zuletzt geändert: vor 8 Jahren