<div dir="ltr">agreed it's broken, but "it is what it is"<br><br>(AFAICT, the trigger is either and explicit "logout" choice in the service OR an attempt to do something in the service once the timeout period has elapsed - say click on a link - and the service relays to the IdP Logout profile)</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 13, 2020 at 9:26 AM Ray Bon <<a href="mailto:rbon@uvic.ca">rbon@uvic.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div style="text-align:left;direction:ltr">

<div>If a vendor's session timeout triggers logout behaviour, the vendor software is clearly broken.</div>

<div><br>

</div>

<div>Ray</div>

<div><br>

</div>

<div>On Thu, 2020-08-13 at 08:49 -0800, IAM David Bantz wrote:</div>

<blockquote type="cite" style="margin:0px 0px 0px 0.8ex;border-left:2px solid rgb(114,159,207);padding-left:1ex">

<div style="font-size:8pt;color:rgb(245,132,66);font-family:sans-serif;font-style:normal;font-weight:bold;padding:0.2em">

Notice: This message was sent from outside the University of Victoria email system. Please be cautious with links and sensitive information.

</div>

<br>

<div>

<div dir="ltr">Some new (to my IdP) SPs invoke our IdP's Logout profile, killing the SSO session.

<div>That isn't necessarily the behavior the users want or expect - especially if the Logout is called merely because of an application time-out. I suppose I should try to get those SPs to change to a less impactful behavior, but in the absence of that, I wonder

 about rewiring calls to the Logout profile to allow the user the option to destroy the SSO session or not; or even "just saying No" to destroying the SSO session. Have you dealt with this situation? How does your IdP respond to SPs triggering 'global' logout

 instead of just ending their SP session?</div>

<div><br>

</div>

<div>David Bantz</div>

<div>U Aalska</div>

</div>

</div>

</blockquote>

<div><span>

<pre>-- <br></pre>

<div>Ray Bon</div>

<div>Programmer Analyst</div>

<div>Development Services, University Systems</div>

<div>2507218831 | CLE 019 | <a href="mailto:rbon@uvic.ca" target="_blank">rbon@uvic.ca</a></div>

<div><br>

</div>

<div>I respectfully acknowledge that my place of work is located within the ancestral, traditional and unceded territory of the Songhees, Esquimalt and WSÁNEĆ Nations.</div>

</span></div>

</div>

-- <br>

For Consortium Member technical support, see <a href="https://wiki.shibboleth.net/confluence/x/coFAAg" rel="noreferrer" target="_blank">https://wiki.shibboleth.net/confluence/x/coFAAg</a><br>

To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net" target="_blank">users-unsubscribe@shibboleth.net</a><br>

</blockquote></div>