調(diào)用SLO端點(diǎn)

當(dāng)發(fā)起退出時(shí)，您需要在完成了應(yīng)用側(cè)會(huì)話注銷后，向IDaaS提供的應(yīng)用退出端點(diǎn)發(fā)起跳轉(zhuǎn)請(qǐng)求。

管理員可以從應(yīng)用詳情 > 登錄訪問(wèn) > 單點(diǎn)登錄標(biāo)簽下方的應(yīng)用配置信息中獲取退出端點(diǎn)。

直接跳轉(zhuǎn)到這一端點(diǎn)，即可發(fā)起SLO退出請(qǐng)求。由于此時(shí)IDaaS無(wú)法判斷請(qǐng)求來(lái)源有效性，所以需要請(qǐng)您確認(rèn)退出行為。?

若當(dāng)前有IDaaS已登錄會(huì)話，IDaaS會(huì)提示您當(dāng)前退出登錄并確認(rèn)，如下圖。

若上一步中您點(diǎn)擊確認(rèn)，或當(dāng)前本就沒(méi)有IDaaS登錄會(huì)話，會(huì)提示已退出，如下圖。

退出后自動(dòng)回調(diào)

若在SLO完成后，您不希望顯示IDaaS的已退出界面，而是直接回跳到應(yīng)用中去，那么可通過(guò)配置登出回調(diào)地址（即 post_logout_redirect_uris）實(shí)現(xiàn)。?

請(qǐng)管理員前往應(yīng)用 > 管理 > 登錄訪問(wèn) > 單點(diǎn)登錄配置，找到登出回調(diào)地址并填寫完整的回調(diào)應(yīng)用地址。

登出回調(diào)地址是白名單，可填寫最多5個(gè)。退出時(shí)傳入SLO端點(diǎn)的post_logout_redirect_uris需在此白名單范圍內(nèi)，才能完成回調(diào)。

配置保存后，即可以通過(guò)SLO端點(diǎn)中傳入post_logout_redirect_uris參數(shù)來(lái)實(shí)現(xiàn)退出后回跳了。

自動(dòng)退出

若在進(jìn)行退出時(shí)，您希望跳過(guò)手動(dòng)確認(rèn)的步驟，直接完成退出和回跳，以實(shí)現(xiàn)最佳的體驗(yàn)，那么在上述登出回調(diào)地址配置的基礎(chǔ)上，您還需要在SLO端點(diǎn)傳入額外參數(shù)：id_token_hint。

SLO退出端點(diǎn)支持的參數(shù)如下：

SLO端點(diǎn)請(qǐng)求示例如下：

GET https://example.aliyunidaas.com/login/app/<application_id>/oauth2/logout
	?id_token_hint=${id_token}
	&post_logout_redirect_uri=${post_logout_redirect_uri}
	&state=${state} 

SLO參考流程圖

參考標(biāo)準(zhǔn)

• OpenID Connect RP-Initiated Logout 1.0