Назад | Перейти на главную страницу

Единый выход ADFS SAML

Я имею дело с веб-приложением, подключенным к ADFS в качестве проверяющей стороны, для интеграции единого входа с поставщиком утверждений партнера. Это все через SAML (не WS Federation). Веб-приложение является .NET и использует расширение WIF SAML. Все это работает для SSO.

Что не работает, так это однократный выход из системы для поставщика утверждений. Мое приложение через расширение WIF правильно перенаправляет на https://adfs.example.com/adfs/ls с запросом выхода из SAML, а ADFS, в свою очередь, перенаправляет меня обратно на / saml / redirect / sloresponse. Это все хорошо, но никогда не происходит перенаправления восходящего потока поставщику утверждений (провайдеру удостоверений SAML) для выхода оттуда. Поставщик утверждений публикует SingleLogoutService в своих метаданных SAML, и он работает, когда поставщик утверждений передает SAML напрямую моему веб-приложению (без ADFS в середине).

Вопросы:

  1. Поддерживается ли единый выход из системы SAML в ADFS? Поиск в Интернете нашел мне несколько загадочных заметок, которых нет, но я не могу найти точный источник.

  2. Если не в ADFS 2.0, то в ADFS 2.1? При необходимости мы можем перейти на Windows 2012.

  3. Если не SAML, может ли ADFS сделать это с помощью WSFederation? Должны ли быть WSFed обе ветви - доверие поставщика утверждений и доверие проверяющей стороны?

  4. Если это вообще невозможно, есть ли рекомендуемый обходной путь? Может быть, перенаправить прямо к провайдеру утверждений и отправить запрос на выход SAML в ADFS?

Спасибо!

Немного поздно, но надеюсь, что это кому-то поможет. NameID играет здесь роль. Вы видели эту цитату в шаге 3 ознакомительных сведений «Использование AD FS 2.0 в качестве поставщика удостоверений SAML 2.0 для образца поставщика услуг»?

"Заметка:

· Утверждение NameIdentifier не включается в исходящее утверждение от AD FS по умолчанию. Это можно добавить как правило преобразования утверждения. Это необходимо для правильного выхода из системы. "

Отправлял ли IDP партнера NameID, и был ли настроен ваш ADFS для отправки NameID в приложение RP? Я сконфигурировал ту же самую настройку, где мои IDP и RP STS являются ADFS, и это отлично работает.

Обратите внимание: CTP расширений WIF SAML не поддерживается на данном этапе. Я предполагаю, что это не производственная установка?

Для этого не требуется Windows Server 2012 AD FS 2.1. Хотя у него есть несколько приятных дополнительных функций, которые появятся в версии сервера 8.1, которые могут повлиять на ваше решение об обновлении :)