Dies ist eine alte Version des Dokuments!
Logout und SLO
Nachdem das Speicher von Session-Informationen umgestellt ist auf lokale SQL-Datenbank, kann SLO im IdP aktiviert werden:
- /opt/shibboleth-idp/conf/idp.properties
# Set to "shibboleth.StorageService" for server-side storage of user sessions idp.session.StorageService = shibboleth.JPAStorageService # Track information about SPs logged into idp.session.trackSPSessions = true # Support lookup by SP for SAML logout idp.session.secondaryServiceIndex = true # damit der User eine ausführliche Logout-Rückmeldung vom IdP bekommt: # Whether to lookup metadata, etc. for every SP involved in a logout # for use by user interface logic; adds overhead so off by default. idp.logout.elaboration = true
Als Letztes kann der Text welcher dem User nach dem Logout angezeigt wird in ./views/logout.vm angepasst werden.
Achtung: Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren bitte in der Apache-Konfiguration prüfen, dass die richtige X-FRAME-OPTION „SAMEORIGIN“ gesetzt ist, siehe auch HTTP Server.
Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die Dokumentation im Shibboleth-Wiki.
Besonderheit IIS-basierter SP
IIS liefert beim Logout einen HTTP-Fehler 404 zurück:
- Entweder die Konfiguration des IIS anpassen, wie unter https://support.microsoft.com/en-us/kb/942071 beschrieben
- In der Metadatenverwaltung beim IdP das HTTP-Redirect Binding für Single Logout entfernen (SSPCPP-637)