Siirry suoraan sisältöön.
Suomi.fi-tunnistus

Uloskirjausvastauksen vastaanottaminen ja lähettäminen (LogoutResponse)

Tässä artikkelissa kuvataan SAML-esimerkkinä uloskirjausvastaus. Asiointipalvelu voi lähettää uloskirjausvastauksen Tunnistus-palvelulle tai päinvastoin. Sanoman rakenne on molemmissa tilanteissa samanlainen.

Alla on esitetty esimerkkisanoma HTTP-REDIRECT- ja HTTP-POST-sidoksilla.

Uloskirjausvastaus (HTTP-POST)

Esimerkissä on asiointipalvelun (elementissä saml2:Issuer) uloskirjausvastaus Tunnistus-palvelulle (attribuutissa Destination), joka on pyytänyt uloskirjausta.

Kun asiointipalvelu on käynnistänyt uloskirjautumisen, Tunnistus-palvelun vastaus asiointipalvelulle on muutoin samanlainen, paitsi että lähettäjä (elementissä saml2:Issuer) ja vastaanottaja (attribuutissa Destination) ovat toisin päin.

Huom! Tässä SAML-sanoma on alkuperäisessä muodossa, josta se muunnetaan laitteiden välillä siirrettävään muotoon.

<?xml version="1.0"?>
<samlp:LogoutResponse xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Destination="https://testi.apro.tunnistus.fi/idp/profile/SAML2/POST/SLO" ID="_78bc4eef407349690b2a7a8d03ab2e69" InResponseTo="_3a8c6163dfbb70545452d4568d992a47" IssueInstant="2018-11-07T12:53:59Z" Version="2.0">
  <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://kalastus.mallikunta.fi/SAML2SP</saml:Issuer>
  <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:SignedInfo>
      <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
      <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
      <ds:Reference URI="#_78bc4eef407349690b2a7a8d03ab2e69">
        <ds:Transforms>
          <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
          <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
        </ds:Transforms>
        <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
        <ds:DigestValue>9TMHsbXMJBX2F5OJvwy6foI/HaRRg6kJA2R+T2jDFEY=</ds:DigestValue>
      </ds:Reference>
    </ds:SignedInfo>
    <ds:SignatureValue>RYDGHhym5HfMiklodRVYXgi5uq955XQqegYO/UdxuTCZC+ubHhE9PehJtlamx7ED o2JmTdFQidfgpmc1qWV/GQMNeQlcXPB7IAJCwNktSvl4a9yoYLcoT/vNAB5+Yns2 5PDI4JAeJ1J4CGWRFl6d610LZz6mFTEvt+8Ev9ioB9mZjT7b9l6sUyHLKPYtRzqH GDrDGHCQveBalow9moC7Izp4FWRvy1qAR+2IKdXYwIYh+MZCFVxDzGdQP8jYnSqX 6OmbRLlPlqmbHhmWt1PNPiNtPIILSQA+Excwfyz7rRAZ4uWkZpLE4EcDxByebZ0C UpiYgxTOmvQEzX6c1zt7aw==</ds:SignatureValue>
    <ds:KeyInfo>
      <ds:KeyName>performance-test-sp</ds:KeyName>
      <ds:X509Data>
        <ds:X509SubjectName>CN=performance-test-sp</ds:X509SubjectName>
        <ds:X509Certificate>MIIDADCCAeigAwIBAgIJAMK4gnvOgdUrMA0GCSqGSIb3DQEBBQUAMB4xHDAaBgNV BAMTE3BlcmZvcm1hbmNlLXRlc3Qtc3AwHhcNMTUxMDMwMDcyMzMyWhcNMjUxMDI3 MDcyMzMyWjAeMRwwGgYDVQQDExNwZXJmb3JtYW5jZS10ZXN0LXNwMIIBIjANBgkq hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApOWQ/9UycSY5kiV70ycdDP1R80W3T+hc pVpYros32vIyRQ8m69CfC1UKZv9J23bzA+YUvcx3MO4tE0ebNpLLHXXYgtAhTXpa 6Vlp7OuXXPC4m6mSVYygalLMblllmMpgJllSL8N1iK8abh/WAp1fPbmdpaHjYpYp g5GZhgkhnwoazhBSaMz/Lj9u+j/W0/FvB4zlpM56F4X/6v/hAlhlgCNkaB8D4gLv kx+a4sipJ/uAm/u3MziCzPTRtoCenlMBsq0/FFu8WKU9TxolEy4v5YcYlg7zN5hB 1q7jeBuguxwfnnZYEy/KzMpYnEYUMSj31n66v3GvJHuc+2UKq5xrwwIDAQABo0Ew PzAeBgNVHREEFzAVghNwZXJmb3JtYW5jZS10ZXN0LXNwMB0GA1UdDgQWBBQzzbTf wiY9tnaiFh1W42HXeGXsYDANBgkqhkiG9w0BAQUFAAOCAQEAmDfFAUA/v1X7HIky eNeHyvv9c6kGGTajDism1eIOhTcO8j3ZZqRKqNTAjj5BMJ2Xv7SGhbvPEBLQ0la8 GD6Inr4eF4XzPen2KOAuHYsWQEF3NFKM7AvSSzx6foRs90mxiw0KlDK3GTOXTt/5 cjHUH2Q4Dg+Nz7ZDLlUsouU8MKSQIEWbMTtdlhfd7p0feaN4AOOIry9rkB7WGzKj FNsK9QIqJSvCi3IirAfGVgvWvjSASp/pFBT4LdeAd64vrjCjKNvjQOWca9s1IACo w2S58qCi19LoTyGb2ZlPLSVRItpxKOYU23s+ChX5BUrY4kwQVIForMjhRusfg6aZ Q60qag== </ds:X509Certificate>
      </ds:X509Data>
    </ds:KeyInfo>
  </ds:Signature>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
  </samlp:Status>
</samlp:LogoutResponse>

Uloskirjausvastaus (HTTP-REDIRECT)

Esimerkissä on Tunnistus-palvelun (elementissä saml2:Issuer) vastaus asiointipalvelulle (attribuutissa Destination), joka on pyytänyt uloskirjautumista.

Kun Tunnistus-palvelu on käynnistänyt uloskirjautumisen, asiointipalvelun vastaus Tunnistuksen uloskirjauspyyntöön on muutoin samanlainen, paitsi että lähettäjä (elementissä saml2:Issuer) ja vastaanottaja (attribuutissa Destination) ovat toisin päin.

Huom! Tässä SAML-sanoma on alkuperäisessä muodossa, josta se muunnetaan laitteiden välillä siirrettävään muotoon.

<saml2p:LogoutResponse Destination="https://kalastus.mallikunta.fi/SAML/SLO/Redirect"
                       ID="_d852ff1c08bba9a0fc765bf7088f40a9"
                       InResponseTo="_980f14cdd1f0cae5e1c8fa1523c7f45d"
                       IssueInstant="2016-05-13T12:00:16.318Z"
                       Version="2.0"
                       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
                       >
    <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">https://idp.xyz/idp1</saml2:Issuer>
    <saml2p:Status>
        <saml2p:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </saml2p:Status>
</saml2p:LogoutResponse>

Seuraavat parametrit välitetään SAML - viestin ohella:

RelayState: ss:mem:7225343aa85efec6d77b1e64f5297f92c0f46fc09954cefc817a48ae5204ed30
SigAlg: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
Signature: HÖPÖHÖÖaTFD870iqCvZjgpGy/R1KA7r4y7Amo4GwBz5PmOeFJ/Ra8Dv7+roZoMak3PYLhBjSk17o4RIEcbioRJUNhaSqsiw/YjHA1gYz2i/JQKAfSzo7L7VKh7uOuM7niBaaKcsOKDhsJoYUUmOPZj2MbGEqnaqX6YUilf/5aN8tXFqU6f7sA35emMoGHWGNzI5ZNFjuTee/nVlmmO57Sn8yoJ6cCBm1Yf+i9Mtmwro6Fsfa0zRB0Otz+WHMOeki+4pdHefPRF5msQ2s6yUT34Wpb+eodWR2Q/sqrAjp6tdWjW2thyPdHmFen8OZss8axfhSiaybj62De0QKXNOn4A==

Päivitetty: 28.10.2024

Oletko tyytyväinen tämän sivun sisältöön?