日時 | |
関係者(共同研究者) | |
Google AppsをShibboleth IdPでSSOを実現した場合のログアウト処理
Google AppsをShibboleth IdPとSAML連携によるシングルサインオン(SSO)を実現した場合,ログアウトの処理ができないため,ブラザーを閉じる必要があった.
シボレス(Shibboleth) IdP 2.4.0よりシングルログアウト(SLO)が実装されたのでGoogle Appsもログアウト処理が可能になったようである.具体的な設定方法を下記に示す.
Google Appsに管理者でログインし,
シングル サインオン (SSO) の設定の
ログアウト ページ URL を
Shibboleth IdPのhandler.xmlに記述した
ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout"の要素内のRequestPathの子要素の値
をもとに、下記の例に従って決定できる.
たとえば,
vhost名: idp.yz.yamagata-u.ac.jp
Proxyパス: /idp/
handler.xmlのRequestパス: /Logout
の場合、
https://idp.yamagata-u.ac.jp/idp/profile/Logout
とする.
【開発環境】
IdP: Shibboleth IdP 2.4.0 (学認対応)1)
【ノート】
・UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法2)
・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用3)
・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)4)
【標準的なidpのLocalLogoutの定義】
<ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout">
<RequestPath>/Logout</RequestPath>
</ProfileHandler>
【シボレスのプロファイルハンドラーの仕様】
All profile handlers defined below are accessed via the Servlet path "/profile" so if your profile