У нас есть учетная запись Google Apps, которую мы используем для большей части нашей работы. Мы также используем AD FS 3.0 в качестве поставщика единого входа для аутентификации пользователей. Все отлично работает с процессом входа. Однако при выходе все разваливается на части.
Я давно следил за руководством, чтобы настроить его, и проверил настройки с помощью это руководство и проверил несколько других, и настройки должны быть правильными.
При выходе со страницы Google мы перенаправляемся на наш URL для выхода из AD FS. (https://<domainname>/adfs/ls/?wa=wsignout1.0), затем получите сообщение "Вы успешно вышли из системы". Однако, возвращаясь к нашему пользовательскому URL-адресу для входа в Google (mail.domainname) мы снова вошли в систему Google, как если бы не нажали кнопку выхода.
Я немного покопался, и, по-видимому, это большая проблема. Это сообщение на форуме продуктов Google есть точная проблема, с которой я столкнулся, и кто-то предложил связаться со службой поддержки Google. После часа разговора по телефону с поддержкой Google они решили, что проблема в том, что на нашем сервере AD FS запущен какой-то скрипт, который держит нас в системе, и я должен связаться с нашим веб-разработчиком ...
Проблема находится где-то в AD FS, но я не могу понять ее и надеюсь, что кто-то столкнулся с той же проблемой и сможет дать некоторые рекомендации.
Проблема здесь в том, что вам не предоставлено соответствующее руководство от Google относительно того, как настроить IDP с поддержкой SAML, например AD FS, для интеграции с приложениями Google.
Вам не следует использовать adfs / ls /? Wa = wsignout1.0, так как именно так вы используете протокол ws-federation для запуска выхода. Вы смешиваете wsfed и SAML. Видеть http://docs.oasis-open.org/wsfed/federation/v1.2/ws-federation.html для получения дополнительных сведений о синтаксисе выхода wsfed. / adfs / ls - это пассивная конечная точка AD FS, которая обрабатывает как wsfed, так и SAML.
Я ожидал, что Google даст совет, похожий на https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-google-apps-tutorial (но соответствует AD FS) о том, как настроить сторону AD FS. https://support.google.com/a/answer/60224?hl=en кажется актуальным, но я не вижу, чтобы они четко указывали URL-адреса входа / выхода и соответствующие поддерживаемые привязки (публикация против перенаправления) или метаданные федерации Google, чтобы почерпнуть эту информацию. Насколько я могу судить, поддержки единого выхода SAML нет. Если это так, документы нелегко найти.
Вам необходимо, чтобы Google отправил запрос на выход из SAML в / adfs / ls, а также вам необходимо настроить AD FS с URL-адресом, в котором приложения Google будут отправлять ответ на выход SAML. и этот ответ о выходе из системы не следует отправлять на /adfs/ls/?wa=wsignout1.0. Google должен быть в состоянии ответить на этот вопрос.
Я не являюсь экспертом в приложениях Google, поэтому больше не могу комментировать. Предполагая, что вы получаете платную поддержку от Google, вам следует попытаться перейти в службу поддержки Google, чтобы получить лучший ответ.