您如何处理与ADFS联合的应用程序的注销过程？ [英] How do you handle the logout process for applications federated with ADFS?

问题描述

我的环境由与ADFS 2016联合的各种应用程序(RP)组成。我认为我们90%的用户使用基于表单的身份验证登录，因为他们从公共设备访问这些应用程序。

这是我们的方案。

Bob转到应用程序A，被重定向到ADFS以获取令牌，然后Bob通过基于表单的身份验证向ADFS进行身份验证，然后ADFS为应用程序A授予令牌，Bob随后使用该令牌登录到应用程序A。然后Bob从应用程序A注销，这实质上删除了Bob与应用程序A之间的会话。然而，Bob在没有关闭浏览器的情况下再次访问应用程序A，并且不是被提示再次使用基于表单的身份验证对ADFS进行身份验证，而是被重定向到应用程序A。这是一个问题，因为如果其他用户没有关闭他们的浏览器，它可能会无意中允许用户使用其他用户的帐户登录。

我们一直在通过确保我们的所有RP都配置了要求用户在每次登录时提供凭据来规避此问题。你们也用这个吗？

一些SAML RP在其一侧配置为始终将用户重定向到根据MS应该仅用于WS-FED应用程序的https://adfs.server.com/adfs/ls/?wa=wsignout1.0，如here和[HERE][2]。将用户重定向到该URL时是否遇到过任何问题？

另外，一些RP已使用SAML注销终结点配置了终结点选项卡，而其他RP则没有。这些注销终结点是否需要填写，或者是否仅对于尚未从其端执行此操作的应用程序才需要？

SAML

推荐答案注销消息应发送到SAML终结点(即https://adfs.server.com/adfs/ls/)。依赖方必须将SAML注销终结点配置为接收SAML注销消息。

依赖方应向https://adfs.server.com/adfs/ls/发送签名注销消息。ADFS应向依赖方的SAML注销终结点返回签名注销响应。

如果此SAML注销交换成功，则应从ADFS注销经过Forms身份验证的用户。如果注销不成功，我建议查看ADFS事件日志以了解更多详细信息。

这篇关于您如何处理与ADFS联合的应用程序的注销过程？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！