2013-01-13 59 views
1

我們使用ADFS 2.0作爲具有使用SAML2協議的identityprovider(claimsprovider)的聯盟提供程序。 ADFS的依賴方使用WS-Federation協議。使用SAML2(協議)身份提供者的ADFS 2.0註銷失敗

我們現在可以請求信賴方,使用SAML2身份提供者進行登錄並註銷,以便ADFS向身份提供者發送退出請求,然後我們就可以真正退出登錄。

當我們在同一會話期間(不關閉瀏覽器)再次請求依賴方時,會再次使用SAML2身份提供程序登錄,然後嘗試登出。會發生什麼情況是ADFS顯示已註銷的頁面,但未向身份提供者發送註銷請求,因此該進程在ADFS處停止。如果我們再次嘗試登錄,那麼我們自然會在身份提供者處「反彈」,因爲我們仍然在那裏登錄。

第一次註銷後(總是有效),這是所有後續嘗試發生的情況。是

的關係和協議如下:

RP < --- wsfed ---> ADFS < --- samlp ---> IDP

回答

0

這是下降到瀏覽器緩存的憑據爲ADFS服務器。用戶正在重新進行身份驗證,但瀏覽器記住他們時,他們沒有出示證書。

註銷後應該顯示一個瀏覽器窗口,通知他們關閉瀏覽器以安全註銷。這是清除憑證緩存必須發生的事情。

+0

這不是關於瀏覽器中的緩存憑據,因爲它們不存儲在那裏。 IDP使用PKI身份驗證方法(urn:oasis:names:tc:SAML:2.0:ac:classes:SoftwarePKI)。當涉及SAML2p時,似乎問題與失敗的聯合註銷有關,因爲沒有註銷請求從第二次註銷嘗試開始從ADFS發送到IDP。 –

相關問題