我的环境由与 ADFS 2016 联合的各种应用程序 (RP) 组成。我会说 90% 的用户群登录使用基于表单的身份验证,因为他们从公共设备访问这些应用程序。
这是我们的场景。
Bob 转到应用程序 A,被重定向到 ADFS 以获取令牌,然后 Bob 通过使用基于表单的身份验证向 ADFS 进行身份验证,然后 ADFS 为应用程序 A 授予令牌,然后 Bob 使用该令牌登录到应用程序 A。Bob 然后从应用程序 A 注销这实际上删除了 Bob 与应用程序 A 的会话。然而,在不关闭浏览器的情况下 Bob 再次访问应用程序 A,而不是提示再次使用基于表单的身份验证到 ADFS 进行身份验证,而是重定向到应用程序 A。这是一个问题,因为它如果这些其他用户没有关闭他们的浏览器,可能会无意中允许用户使用其他用户的帐户登录。
我们一直在通过确保我们所有的 RP 都配置有“要求用户在每次登录时提供凭据”来规避这一点。你们也用这个吗?
一些 SAML RP 被配置为始终将用户重定向到https://adfs.server.com/adfs/ls/?wa=wsignout1.0 ,根据 MS 的规定,这应该仅用于 WS-Fed 应用程序,如此处所述和 [这里][2] 。您是否在将用户重定向到该 URL 时遇到任何问题?
此外,一些 RP 的 Endpoint 选项卡配置了 SAML Logout Endpoints,而另一些则没有。这些 Logout Endpoints 是否需要填写,还是仅适用于尚未从他们这边执行此操作的应用程序?