注销ADFS 2.0问题 [英] Sign Out Problem with ADFS 2.0

问题描述

我遇到的情况似乎无法找到解决方案：

I've run into a scenario that I can't seem to find a solution to:

• 我通过ADFS 2.0（RC）登录，它发出SAML令牌并存储我访问过哪些依赖方的记录（在MSISSignOut cookie中）。  此cookie将在以后用于退出。
  
• 联合cookie设置为在配置的时间段（在TokenLifetime设置中指定）后到期。  默认情况下，这是一个小时。
  
• 但是，MSISSignOut cookie是基于会话的，因此当用户关闭浏览器时它会消失。
  
• 如果用户进入ADFS注销页面，它应该遍历存储在MSISSignOut中的依赖方列表，但此cookie已消失！  因此，退出请求永远不会发送给依赖方。
  
• 由于我们的原始FedAuth cookie仍然存在且注销cookie没有，因此用户未正确注销。
  

有关如何修复或解决此问题的任何想法？  我已经解析了IdentityServer代码，我没有看到配置此行为的方法。

Any thoughts on how to fix or work around this?  I've gone as far as decompiling the IdentityServer code, and I don't see a way to configure this behavior.

推荐答案

嗨Garrett，

Hi Garrett,

听起来您的应用程序使用持久性Cookie来跟踪用户的会话。 这个决定的驱动力是什么？ 如果您使用基于会话的cookie，您会发现此问题消失了。 通常，使用
SSO模型，应用程序可以使用基于会话的cookie并依赖STS来提供持久会话（如果用户的组织的安全策略允许）。

it sounds like your application is using persistent cookies to track the user's session.  What's the driving force for this decision?  If you were to use session-based cookies, you should find that this problem goes away.  In general, with the SSO model, the application can use session based cookies and rely on the STS to provide persistent sessions (if the user's organization's security policies permit).

HTH ，

Colin

HTH,
Colin

这篇关于注销ADFS 2.0问题的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！