問題
-
ユーザーが手動でログアウトすると、シングル サインオンとシングル ログアウトは正常に機能しますが、ポータル セッションの有効期限が切れてもシングル ログアウトは発生しません。
Environment
- IdP としての Liferay 7.0
解決策
- サービス プロバイダー (SP) は、IdP から受け取った SAML アサーションに含まれる最大有効期限のみを受け取ります。 SP は通常、このアサーションから独自の HTTP セッションを作成します (最大期間が一致します) が、SP と IdP の両方のセッションには、独自の分離されたライフサイクルがあります。
- SP と IdP のセッション時間は一意であり、独立しています。
- どちらも独自のタイムアウトを持ち、独自のタイムアウト ルールに従うことが期待されます (SP と IdP によって決定されます)。
- SP 上のセッションが期限切れになった場合でも、IdP 上のセッションが引き続きアクティブである可能性は非常に高くなります。 また、ほとんどの場合、IdP の実装は、IdP のセッションが期限切れになったときにシングル ログアウトを呼び出しません。
- この動作は、SP と IdP にどのサービス (Liferay、ADFS など) が使用されているか、それらがどのように構成され、どのように構築されたかに完全に依存します。 これも SAML 2.0 標準の一部です。
追加情報
SAML とは?
SAML を IdP として設定する
SAML を SP として設定する