这个登出问题我想了很久也没找到解决的办法,一开始是我用ADFS 2.0的网站,即使打开了正确的登出网址也不能登出,我以为是一些cookie没有清除,后来才发现可能是ADFS服务器的问题。
我试过:
1.停止iis服务器,所以我没有我的网站在所有,只是测试adfs。
1.清除我的浏览器cookie。关闭并重新打开。所以它是干净的。
1.直接登录adfs,例如:https://mydomain/adfs/ls/?wtrealm=mysite&wa=wsignin1.0,在这里我得到用户名和密码的弹出窗口.
1.通过访问以下内容直接注销:https://mydomain/adfs/ls/?wtrealm=mysite&wa=wsignout1.0
1.清除我的浏览器Cookie。
1.再次尝试使用3的url登录。我登录后没有看到任何弹出窗口。在浏览器开发工具中。我看到了指向我的网站的重定向。
我用Fiddler来捕获流量,看起来验证是使用NTLM。看起来浏览器从某处获得了凭据(不是在确认的cookie中)。恢复弹出窗口的唯一方法是关闭浏览器进程,并重新打开登录URL。有人知道如何让它真正注销吗?
1条答案
按热度按时间omqzjyyz1#
这是因为您公司网络中的ADFS服务使用Windows集成身份验证,并使用ADFS服务的新AD服务票证(技术上是另一种身份验证)无缝登录。这与拥有支持Windows集成身份验证的IIS Web应用程序没有什么不同。
如果您是从Extranet访问,则不会看到此信息。
在某些场景中,你关心的是让用户交互登录。做到这一点的方法是(2012 R2是这里的选择)
1.在ADFS服务上配置MFA,并且对于应用程序,需要MFA。这将基本上无缝地为您登录,但会提示您输入第二个因素
1.增强(安全性更高)以忽略任何SSO(Web SSO默认为8小时)并在应用程序上设置“AlwaysRequireAuthentication”标志。
这在ADFS 2016中变得更好,在ADFS 2016中,我们支持通过WS-Fed或OAuth/OpenIDConnect提示=登录,这甚至会忽略Windows SSO模式。
希望能有所帮助。
感谢//Sam(推特:@ ADFS先生)