Dies ist eine alte Version des Dokuments!
Logout und SLO
Nachdem das Speicher von Session-Informationen umgestellt ist auf lokale SQL-Datenbank, kann SLO im IdP aktiviert werden:
- /opt/shibboleth-idp/conf/idp.properties
# Set to "shibboleth.StorageService" for server-side storage of user sessions idp.session.StorageService = shibboleth.JPAStorageService # Track information about SPs logged into idp.session.trackSPSessions = true # Support lookup by SP for SAML logout idp.session.secondaryServiceIndex = true # damit der User eine ausführliche Logout-Rückmeldung vom IdP bekommt: # Whether to lookup metadata, etc. for every SP involved in a logout # for use by user interface logic; adds overhead so off by default. idp.logout.elaboration = true
Die Logout-Seite enthält eine Bemerkung der Shibboleth-Entwickler dass die Seite angepasst werden soll. Diese Bemerkung sollte ersetzt oder zumindest deaktiviert werden. Löschen Sie die entsprechenden Zeilen oder kommentieren Sie diese aus wie folgt aus (oder ersetzen Sie den Text durch einen eigenen sofern Sie Ihren Usern an dieser Stelle etwas mitteilen möchten):
- ./views/logout.vm
<!-- ... --> <div class="content"> <div class="column one"> <!-- <p>This page is displayed when a logout operation at the Identity Provider completes. This page is an example and should be customized. It is not fully internationalized because the presentation will be a highly localized decision, and we don't have a good suggestion for a default.</p> <br> --> #if ( $logoutContext and !$logoutContext.getSessionMap().isEmpty() ) <!-- ... -->
Erzeugen Sie das IdP-WAR-File neu (dabei Logdateien mitverfolgen!):
root@idp:/opt/shibboleth-idp# JAVA_HOME=/usr ./bin/build.sh
Achtung: Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren bitte in der Apache-Konfiguration prüfen, dass die richtige X-FRAME-OPTION „SAMEORIGIN“ gesetzt ist, siehe auch HTTP Server.
Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die Dokumentation im Shibboleth-Wiki.
Besonderheit IIS-basierter SP
IIS liefert beim Logout einen HTTP-Fehler 404 zurück:
- Entweder die Konfiguration des IIS anpassen, wie unter https://support.microsoft.com/en-us/kb/942071 beschrieben
- In der Metadatenverwaltung beim IdP das HTTP-Redirect Binding für Single Logout entfernen (SSPCPP-637)