ADFS SAML Single Logout

Question

ADFS SAML Single Logout

Я имею дело с веб-приложением, подключенным к ADFS в качестве проверяющей стороны, для единого входа в интеграцию с поставщиком заявок партнера. Это все через SAML (не WS Federation.) Веб-приложение.NET и использует расширение WIF SAML. Все это работает для SSO.

Что не работает, так это одиночный выход из системы для поставщика утверждений. Мое приложение через расширение WIF правильно перенаправляет на https://adfs.example.com/adfs/ls с запросом на выход из SAML, а ADFS, в свою очередь, перенаправляет меня обратно в / saml / redirect / sloresponse. Это все хорошо, но никогда не происходит перенаправление вверх к поставщику утверждений (провайдеру идентификации SAML) для выхода из него. Поставщик утверждений публикует SingleLogoutService в своих метаданных SAML, и он работает, когда поставщик утверждений связывает SAML непосредственно с моим веб-приложением (без ADFS в середине).

Вопросы:

Поддерживается ли единый выход из SAML в ADFS? Поиск в Интернете нашел мне несколько загадочных заметок, но это не так, но я не могу найти точный источник.
Если не в ADFS 2.0, это в ADFS 2.1? Мы могли бы обновить до Windows 2012, если это необходимо.
Если не SAML, может ли ADFS сделать это с помощью WSFederation? Должны ли обе стороны быть WSFed, и доверие провайдера утверждений, и доверие проверяющей стороны?
Если это вообще невозможно, есть ли рекомендуемое решение? Может быть, перенаправить прямо к провайдеру утверждений и отправить запрос на выход из SAML в ADFS?

Спасибо!

5

adfs federated

Источник

Erik Mooney 22 мар '13 в 21:03

1 ответ

Другие вопросы по тегам adfs federated

maweeras 16 июн '13 в 19:29 2013-06-16 19:29 · Answer 1 · 2013-06-16 19:29

Немного поздно, но надеюсь, что это кому-то поможет. NameID играет роль здесь. Вы видели эту цитату в ознакомительном шаге 3 "Использование AD FS 2.0 в качестве поставщика удостоверений SAML 2.0 для примера поставщика услуг"?

"Заметка:
· Заявка NameIdentifier по умолчанию не включена в исходящую заявку AD AD. Это можно добавить в качестве правила преобразования утверждений. Это необходимо для правильного выхода из системы. "

Партнер IDP отправлял NameID, и была ли ваша ADFS настроена на отправку NameID в приложение RP? Я настроил ту же самую настройку, где мои IDP и RP STS оба являются ADFS, и это прекрасно работает.

Обратите внимание, что CTP-расширения WIF SAML не поддерживаются на данном этапе. Я предполагаю, что это не производственная установка?

Windows Server 2012 AD FS 2.1 не требуется для этой работы. Хотя в версии 8.1 для сервера появилось несколько приятных дополнительных функций, которые могут повлиять на ваши решения по обновлению:)