[英]Single Sign Out with ADFS and STS
目前,我們在使用ADFS 2.0和外部IP-STS進行單一注銷時遇到問題。 我們的設置是:RP1 <-信任-> ADFS 2.0 <-信任->定制IP-STS RP2 <-信任-> ADFS 2.0 <-信任->定制IP-STS
單一登錄部分的效果非常好,如果用戶已經使用自定義IP-STS登錄以訪問RP1,則此后他們可以在同一瀏覽器會話中訪問RP2,而無需再次登錄。
但是問題出在注銷過程中。 當用戶從RP1注銷時,通過使用Fiddler,我們可以看到:
我假設ADFS應該為具有相同會話的所有RP登出,但事實並非如此。 我錯了嗎? 還是我在這里缺少某種配置?
當然,我們可以選擇從自定義IP-STS向RP顯式發送wsignoutcleanup1.0操作到RP,但是我們需要解析“ wctx”以獲得我不想使用的原始RP Url。 我還嘗試將wsignoutcleanup1.0操作從“自定義IP-STS”發送回ADFS(步驟3),但它也無濟於事。
我的猜測是,您不是通過wsignoutcleanup返回iframe,而是返回圖像。 因此,adfs不會返回嵌套的 iframe,換句話說,它不會正確升級注銷。
正確的順序是
1個應用程序將注銷請求發送到adfs
2 adfs將請求升級到外部sts
3 sts使用wsignoutcleanup返回指向經過身份驗證的應用程序(在這種情況下為adfs)的iframe序列
4 adfs將帶wsignoutcleanup的嵌套iframe返回給所有經過身份驗證的應用程序,包括rp1和rp2
聽起來好像自定義STS沒有將簽出清除發送到ADFS。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.