В течение нескольких лет я использовал ADFS 2.x в качестве SAML IDP, который работает с пассивной аутентификацией SAML. Когда в запросе установлен флаг isPassive = true, ответ будет включать следующий раздел StatusCode:
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder">
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:NoPassive"/>
</samlp:StatusCode>
</samlp:Status>
со вторичным кодом состояния NoPassive, чтобы указать, что пользователь еще не вошел в ADFS.
Однако в моем новом экземпляре ADFS 3.0 ответ не включает подстатус NoPassive, поэтому невозможно определить, является ли ответ общей ошибкой или ожидаемым поведением NoPassive. Я бы хотел, чтобы поведение было таким же.
Есть ли для этого новый параметр или что-то еще, что мне не хватает?
Оказывается, это была ошибка в ADFS 3.0. Я не знаю, была ли это решена в более поздней версии.