问题描述
我的环境由与ADFS 2016联合的各种应用程序(RP)组成。我说90%的用户群使用基于表单的身份验证登录,因为它们从公共设备访问这些应用程序。
这是我们的情况。
Bob转到应用程序A,重定向到ADFS以获取令牌,Bob然后通过使用基于表单的身份验证对ADFS进行身份验证,然后ADFS为应用程序A授予一个令牌,Bob然后使用该令牌登录到应用程序A。Bob然后注销从应用程序A中删除了鲍勃与应用程序A的会话。然而,鲍勃在没有关闭浏览器的情况下再次访问了应用程序A,并且没有被提示使用基于表单的ADFS身份验证再次进行身份验证,而是被重定向到了应用程序A。之所以出现问题,是因为如果这些其他用户未关闭浏览器,可能会无意间允许用户使用其他用户的帐户登录。
我们一直在通过确保为所有RP配置“要求用户每次登录时提供凭据”来规避这一问题。你们也使用这个吗?
某些SAML RP在其一侧已配置为始终将用户重定向到https://adfs.server.com/adfs/ls/?wa=wsignout1.0,根据MS所述,here仅应用于和[here] [2]中所述的WS-Fed应用程序。通过将用户重定向到该URL,您是否遇到任何问题?
有些RP的“端点”选项卡配置了SAML注销端点,而另一些则没有。是否需要填写这些注销端点,还是仅对于尚未从其侧面执行此操作的应用程序而言?
I wanna close all Open files which are on open Mode with powershell,how is this possible
解决方法
SAML注销消息应发送到SAML端点(即https://adfs.server.com/adfs/ls/)。依赖方必须将SAML注销端点配置为接收SAML注销消息。
依赖方应将签名的注销消息发送到https://adfs.server.com/adfs/ls/。 ADFS应将签名的注销响应返回到依赖方的SAML注销端点。
如果此SAML注销交换成功,则应从ADFS中注销经过身份验证的表单用户。如果注销失败,建议您查看ADFS事件日志以了解更多详细信息。