您如何处理与ADFS联合的应用程序的注销过程? [英] How do you handle the logout process for applications federated with ADFS?
本文介绍了您如何处理与ADFS联合的应用程序的注销过程?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我的环境由与ADFS 2016联合的各种应用程序(RP)组成。我认为我们90%的用户使用基于表单的身份验证登录,因为他们从公共设备访问这些应用程序。
这是我们的方案。
Bob转到应用程序A,被重定向到ADFS以获取令牌,然后Bob通过基于表单的身份验证向ADFS进行身份验证,然后ADFS为应用程序A授予令牌,Bob随后使用该令牌登录到应用程序A。然后Bob从应用程序A注销,这实质上删除了Bob与应用程序A之间的会话。然而,Bob在没有关闭浏览器的情况下再次访问应用程序A,并且不是被提示再次使用基于表单的身份验证对ADFS进行身份验证,而是被重定向到应用程序A。这是一个问题,因为如果其他用户没有关闭他们的浏览器,它可能会无意中允许用户使用其他用户的帐户登录。
我们一直在通过确保我们的所有RP都配置了要求用户在每次登录时提供凭据来规避此问题。你们也用这个吗? 一些SAML RP在其一侧配置为始终将用户重定向到根据MS应该仅用于WS-FED应用程序的https://adfs.server.com/adfs/ls/?wa=wsignout1.0,如here和[HERE][2]。将用户重定向到该URL时是否遇到过任何问题?另外,一些RP已使用SAML注销终结点配置了终结点选项卡,而其他RP则没有。这些注销终结点是否需要填写,或者是否仅对于尚未从其端执行此操作的应用程序才需要?
SAML
推荐答案注销消息应发送到SAML终结点(即https://adfs.server.com/adfs/ls/)。依赖方必须将SAML注销终结点配置为接收SAML注销消息。
依赖方应向https://adfs.server.com/adfs/ls/发送签名注销消息。ADFS应向依赖方的SAML注销终结点返回签名注销响应。如果此SAML注销交换成功,则应从ADFS注销经过Forms身份验证的用户。如果注销不成功,我建议查看ADFS事件日志以了解更多详细信息。这篇关于您如何处理与ADFS联合的应用程序的注销过程?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文