3.7.3.1 会话参与方规则

本博客采用知识共享署名 4.0 国际许可协议进行许可

当会话参与方收到<LogoutRequest>消息时，会话参与方必须认证这个消息。如果发送方的确是那个提供包含链接到主体当前会话的认证声明的断言的机构，那么会话参与方必须将<saml:BaseID>、<saml:NameID>、或<saml:EncryptedID>元素指定的主体所对应的会话，或消息中提供的<SessionIndex>元素所对应的会话失效。如果没有提供<SessionIndex>元素，那么所有和对应主体相关会话都必须失效。

会话参与方必须将注销请求消息应用于满足以下条件的任何断言，即使断言在注销请求之后到达：

• 断言的主体强匹配<LogoutRequest>中的<saml:BaseID>，<saml:NameID>，或<saml:EncryptedID>元素，如3.3.4中描述的一样。

• 断言的认证语句之一的SessionIndex属性与注销请求中指定的<SessionIndex>元素之一匹配，或者注销请求中不包含<SessionIndex>元素。

• 根据断言本身中指定的时间条件（尤其是条件或主体确认数据中任何指定的NotOnOrAfter属性的值），否则断言将是有效的。

• 注销请求是没有过期的（通过检查消息中的NotOnOrAfter属性确定）

  注意：此规则旨在防止会话参与者在收到注销请求所针对的实际（可能仍然有效）断言之前，收到针对单个或多个断言的注销请求。它应该尊重注销请求，直到注销请求本身可能被丢弃（请求中的NotOnOrAfter值已经超过），或者注销请求所针对的断言已被接收并得到适当处理。