SAML 完全注销 API
编辑SAML 完全注销 API编辑
验证从 SAML IdP 发送的注销响应。
此 API 供 Kibana 以外的自定义 Web 应用程序使用。如果您使用的是 Kibana,请参阅在 Elastic Stack 上配置 SAML 单点登录。
请求编辑
POST /_security/saml/complete_logout
描述编辑
SAML IdP 在处理SP 发起的 SAML 单点注销后,可能会向 SP 发送注销响应。此 API 通过确保内容相关并验证其签名来验证响应。如果验证过程成功,则返回空响应。IdP 可以使用 HTTP-Redirect 或 HTTP-Post 绑定发送响应。此 API 的调用者必须相应地准备请求,以便此 API 可以处理其中任何一个。
Elasticsearch 通过 SAML API 公开所有必要的 SAML 相关功能。Kibana 在内部使用这些 API 来提供基于 SAML 的身份验证,但其他自定义 Web 应用程序或其他客户端也可以使用这些 API。另请参阅SAML 身份验证 API、SAML 准备身份验证 API、SAML 失效 API和SAML 注销 API。
请求正文编辑
-
领域 - (必填,字符串)Elasticsearch 中 SAML 领域的名称,其配置用于验证注销响应。
-
ID - (必填,数组)一个 JSON 数组,其中包含 API 调用者为当前用户拥有的所有有效 SAML 请求 ID。
-
查询字符串 - (可选,字符串)如果 SAML IdP 使用 HTTP-Redirect 绑定发送注销响应,则必须将此字段设置为重定向 URI 的查询字符串。
-
queryString -
[7.14.0] 在 7.14.0 中已弃用。请改用 query_string 请参阅
query_string -
内容 - (可选,字符串)如果 SAML IdP 使用 HTTP-Post 绑定发送注销响应,则必须将此字段设置为注销响应中
SAMLResponse表单参数的值。
示例编辑
以下示例验证 SAML IdP 使用 HTTP-Redirect 绑定发送的注销响应
POST /_security/saml/complete_logout
{
"realm": "saml1",
"ids": [ "_1c368075e0b3..." ],
"query_string": "SAMLResponse=fZHLasMwEEVbfb1bf...&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1&Signature=CuCmFn%2BLqnaZGZJqK..."
}
如果使用 HTTP-Post 绑定发送注销响应,则可以按如下方式进行验证
POST /_security/saml/complete_logout
{
"realm": "saml1",
"ids": [ "_1c368075e0b3..." ],
"content": "PHNhbWxwOkxvZ291dFJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46..."
}
API 在成功时返回空响应。