Единый выход из системы единого входа, время ожидания сеанса в одном из поставщиков услуг
Я работаю над интеграцией Single Sign On в набор веб-приложений.
В приложениях используется однократный выход из системы "на переднем канале", который осуществляется через набор перенаправлений с SP на Idp и обратно через все SP. Одиночный выход из системы 'Front channel' имеет ограничение: когда один из SP не может выйти из системы, весь процесс Single Logout считается неудачным, а другие SP входят в систему.
Предположим, что 1 SP имеет ситуацию тайм-аута сеанса. В этом случае, когда цепочка перенаправлений приходит к нему для выхода из системы, у SP нет информации о том, какие данные отправлять для однократного выхода из системы, и поэтому весь процесс завершается неудачно. Причина в том, что информация, необходимая для успеха Single Logout, была сохранена в самом сеансе.
Как правильно настроить единый выход из системы в случае тайм-аута сеанса у одного из поставщиков услуг?
Некоторые технические подробности об используемых инструментах:
- протокол: SAML 2.0 (хотя можно использовать OpenId Connect, поэтому вопрос довольно общий)
- Idp: Keycloak
- Java-библиотека для SSO является pac4j