我正在处理与ADFS相关的Web应用程序作为依赖方,以便与合作伙伴声明提供程序进行单点login。 这一切都是通过SAML(不是WS联盟)。networking应用程序是.NET,并使用WIF SAML扩展。 所有这些都适用于SSO。
不起作用的是向声明提供者单次注销。 我的应用程序通过WIF扩展正确地redirect到https://adfs.example.com/adfs/ls与SAML注销请求,并且ADFS转而回到/ saml / redirect / sloresponse我。 这一切都很好,但是从来没有发生过任何redirect上游到索赔提供者(SAML身份提供者)从那里注销。 声明提供程序确实在其SAML元数据中发布了SingleLogoutService,并且在声明提供程序直接与我的Web应用程序对话(在中间不使用ADFS)的情况下,它可以工作。
问题:
ADFS中是否支持上游SAML单一注销? 在网上search发现了一些神秘的笔记,它不是,但我不能find一个明确的来源。
如果不在ADFS 2.0中,它在ADFS 2.1中吗? 如有必要,我们可以升级到Windows 2012。
如果不是SAML,ADFS可以使用WSFederation来做到这一点吗? 这两条腿都需要WSFed,既要求提供者信任也要依靠信任方?
如果根本不可能,是否有任何推荐的解决方法? 也许直接redirect到声明提供程序,并将SAML注销请求推送到ADFS?
谢谢!
有点晚了,但希望它可以帮助别人。 NameID在这里扮演一个angular色。 您是否在“使用AD FS 2.0作为服务提供商示例的SAML 2.0身份提供程序”自述文件步骤3中看到此引用?
“注意:
·默认情况下,AD FS的传出声明中不包含NameIdentifier声明。 这可以作为Claim转换规则添加。 这是注销正常执行所必需的。 “
合作伙伴IDP是否发送了一个NameID,并且是您的ADFSconfiguration为发送一个NameID到RP应用程序? 我已经configuration了你的IDP和RP STS都是ADFS的相同的设置,这工作正常。
请注意,此阶段不支持WIF SAML扩展CTP。 我假设这不是一个生产设置?
Windows Server 2012 AD FS 2.1不需要这个工作。 虽然在8.1服务器版本中有一些很好的附加function可能会影响你的升级决定:)