注:仅SAML2.0支持SLO功能,SAML1.0不支持。北京大学提供的IdP3.4.3、IdP3.4.7、IdP.4.1.4安装包或者安装脚本均为SAML2.0。
为了支持CARSI联盟资源目录或者其他SP发起的单点登出功能,IdP端需完成以下配置:
...
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.xxx.edu.cn/idp/profile/SAML2/Redirect/SLO"/> |
注意:如果5.x版本中,元数据没有这几行,需要编辑增加
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.xxx.edu.cn/idp/profile/SAML2/Redirect/SLO"/> |
3. 重启 tomcat(idp3.4.7) 或 jetty(idp4.
...
x 或idp5.
...
x)
4. 登录https://mgmt.carsi.edu.cn,重新提交metadata文件。
重新提交metadata文件只可在"预上线环境"完成。已上线IdP需向carsi@pku.edu.cn发送邮件,申请回退到"调试中"状态,重新提交metadata,重新申请上线。IdP重新上线后此配置修改方可生效。
注意:IdP重新上线后,需要等待下个整点使其在整个CARSI联盟中生效。
5. 修改本idp服务器nginx配置
在Nginx的配置文件nginx.conf(/etc/nginx/nginx.conf)监听443端口的server中location /idp 添加如下配置,具体值可根据自身idp情况进行配置:
注意:如IdP服务器之前配置了负载均衡机制,需同步修改相应配置。
proxy_buffers 32 10k; |
...