>我使用 SAML 流创建了 azure b2c 自定义策略,但找不到文档,我应该在 SP 端使用什么注销 URL。我在 saml 策略元数据 xml 中看到的:
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://tenant.b2clogin.com/tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/logout"/>
它不适用于我的 SP (zendesk(,并在注销重定向后显示错误:AADB2C99046:注销请求不包含会话索引。我调查了 saml 注销请求,它不包含会话索引元素。据我了解,SAML标准文档SessionIndex是可选的。
有没有办法修复SAML的注销功能?
以下是Microsoft支持的答案:
在与我们的技术顾问和其他人员分析您的请求后 资源,我们得到了确认,对于您的特定设置, 让您的 B2C 作为 SAML 令牌提供程序(会话索引(启动 以及 NameID 是必须的,需要由您的服务提供 供应商。
我知道很难跟踪通常需要设置的要求 在 B2C 中,通过将信息传播到除 Azure AD B2C 之外的所有位置 以下是支持的两种方案:
- 让 Azure AD B2C 充当 IdP,并通过基于 SAML 的服务提供商实现 SSO
- 让 Azure AD B2C 充当服务提供商 (SP(,并与基于 SAML 的标识提供者(如 SalesForce 和 ADFS(进行交互。
第一个场景(1(,你拥有的那个,它需要你的自定义 用于设置 SAML 令牌颁发者的策略,以及 SAMLSSOSessionProvider 名为 SM-Saml-Issuer 的技术配置文件。 如果没有您的会话索引,SAML 会话注销将不起作用,并且 来自 SP 的名称 ID 属性。
这是从 实现成功 SAML 注销调用的唯一方法 您的服务提供商。
如果您有任何问题,请告诉我,然后我可以对此进行审查 如有必要,请转发给我们的专家。
最好的问候,__支持工程师 |Azure 支持
大多数使用 SAML 的 SP 将在您通过身份验证后创建自己的会话。此会话仅由设置它的 SP 使用。为此,注销必须执行以下操作:删除所有 SP 会话。
完全注销 SAML SSO 的唯一真正可靠的方法是删除所有会话,包括身份提供程序会话和所有服务提供商会话。通常,只需关闭浏览器即可完成此操作。