Проблема SLO

Представьте себе эту схему:

Платформа -- SP1 ----- IdP ----- SP2 ----- Приложение

Платформа и приложения связаны с SimpleSAMLphp SP, который также образует федерацию с IdP.

Вы должны найти нормальную функцию выхода из Platffom, app1 и app2 и переписать ее:

normal_app_logout() {

 // code of the normal logout
 ....
 ....

 // new code

 require_once('<path-to-ssp>/simplesamlphp/lib/_autoload.php');   //load the _autoload.php
 $auth = new SimpleSAML_Auth_Simple('default-sp');  // or the auth source you using at your SP
 $auth->logout();   <--- call to the SLO 
}

Это завершит локальный сеанс, сеанс SP, подключенный к этому приложению, сеанс IdP и сеансы SP для SP, подключенных к IdP, но... что произойдет с сеансом других приложений? Они по-прежнему будут активны. Вы думали об активном вызове, чтобы завершить его, но я думаю, что будет лучше, если вы также переопределите функцию «is_logged_in ()», которую реализуют многие приложения.

Вы должны переопределить эту функцию и возвращать значение true только в том случае, если существует действительный сеанс SP, активный с использованием функции.

$auth->isAuthenticated()

Недавно я реализовал эту функцию в плагине Wordpess SAML, проверьте код

Проблема с поставщиком идентификационной информации

Используйте бесплатную пробную версию Onelogin , вы можете зарегистрировать там своего поставщика услуг и использовать его IdP. Следуйте этому руководству. для настройки коннекторов SAML

Но я думаю, что вам лучше попробовать создать IdP самостоятельно. Существует хорошая документация, и шаги просты. Используйте источник авторизации «example-userpass», если вы не хотите тратить время на настройку базы данных/ldap.

Также вы можете установить свой фактический экземпляр simplesamlphp как SP и IdP, но я думаю, что если вы изучаете simplesamlphp, лучше не смешивать.

public function logout()
    {
        $timeNotOnOrAfter = new \DateTime();
        $timeNow = new \DateTime();

        $timeNotOnOrAfter->add(new DateInterval('PT' . 2 . 'M'));

        $context = new \LightSaml\Model\Context\SerializationContext();
        $request = new \LightSaml\Model\Protocol\LogoutRequest();
        $request
            ->setID(\LightSaml\Helper::generateID())
            ->setIssueInstant($timeNow)
            ->setDestination($this->_helper->getSloServiceUrl())
            ->setNotOnOrAfter($timeNotOnOrAfter)
            ->setIssuer(new \LightSaml\Model\Assertion\Issuer($this->_helper->getSpEntityId()));

        $certificate = \LightSaml\Credential\X509Certificate::fromFile($this->_helper->getSpCertFile());
        $privateKey = \LightSaml\Credential\KeyHelper::createPrivateKey($this->_helper->getSpPemFile(), '', true);

        $request->setSignature(new \LightSaml\Model\XmlDSig\SignatureWriter($certificate, $privateKey));

        $serializationContext = new \LightSaml\Model\Context\SerializationContext();

        $request->serialize($serializationContext->getDocument(), $serializationContext);

        $serializationContext->getDocument()->formatOutput = true;
        $xml = $serializationContext->getDocument()->saveXML();


        Mage::log($xml);

        $bindingFactory = new \LightSaml\Binding\BindingFactory();
        $redirectBinding = $bindingFactory->create(\LightSaml\SamlConstants::BINDING_SAML2_HTTP_REDIRECT);

        $messageContext = new \LightSaml\Context\Profile\MessageContext();
        $messageContext->setMessage($request);

        return $redirectBinding->send($messageContext);

    }

Наконец сделайте:

$httpResponse = $this->logout();
$this->_redirectUrl($httpResponse->getTargetUrl());