如果有活动的SAML会话，ADFS不将注销请求转发给身份提供程序

Question

我有下一个组件：

• RP-1 (由web连接，WIF)
• RP-2 (由SAML连接)，联邦提供者，实际上它是另一个ADFS)
• MY-ADFS (ADFS 2019作为主STS)
• MY-IP (独立身份提供者web服务，身份服务器4)

)

因此，当我从RP-1( formed )发出一个唱出请求时，一个简单的formed登录就形成了对ADFS的请求：

https:/MY-ADFS/adfs/ls/ GET

• wtrealm：https://RP-1.com/
• wa：wsignout1.0
• wreply：https://RP-1.com/logout/

接下来，ADFS将重定向到IP：

GET https://MY-IP/WsFederation

• wa：wsignout1.0
• wreply：https://MY-ADFS/adfs/ls/?redirectContextId=2dd581d2-6e02-4476-915b-a581e3c855d4

因此，用户从ADFS和IP中清除会话。-如预期的那样。

但是，如果在注销之前，向SAML RP的转换已经完成，并且SAML会话处于活动状态，那么在退出ADFS时会出现一个错误：

MSIS7055:并不是所有SAML会话参与者都正确地注销。建议关闭浏览器。

为了解决这个问题，我将SAML依赖方信任中的注销端点(URL)配置为：

https:/RP-2/adfs/ls/?wa=wsignout1.0

使用POST绑定。这些更改之后，错误就消失了。但是现在ADFS不再将Logout重定向到IP，而是将SAML注销重定向到RP-2：

POST https://RP-2/adfs/ls/?wa=wsignout1.0

• SAMLRequest：PHNhbWxwOkxvZ291dFJl

因此，我没有切换到IP，而是停留在RP-2(ADFS )页面上，其中写着退出是成功的。但是，用户在IP端仍然有一个活动会话(Cookie)。

这里有几个问题：

• 尚不清楚为什么ADFS会改变SAML活动会话的调用链。
• 不清楚如何排除SAML注销重定向，或者强制ADFS也将登录到IP。

。

Answer 1

您还必须在IP (Identity provider)端添加注销URL，以确保通过ADFS从SaaS应用程序签名生成的SAML令牌被转发到身份提供程序，并在IP授权提供程序结束时被更新为注销。这样，浏览器上的cookie就会被更新并顺利处理。

请查找以下可能的步骤来更新身份提供者端的注销URL：-

打开身份验证提供程序workspace.

• Find注销URL。

1. 将URL更新为‘https://RP-2/adfs/ls/?wa=wsignout1.0’，与ADFSServer.
2. 保存您的更改。

中配置的相同。

至于您的第一个查询，为什么ADFS用SAML活动会话更改调用链，这是因为为了成功的注销请求，必须从系统中删除cookie和缓存，因此在SaaS应用程序结束时记录的注销时间被更新，因此建议关闭浏览器，让它在系统中更新。

因此，建议您在不同的浏览器窗口中打开两个RP信任应用程序，因为这两个应用程序都是为不同的令牌提供程序配置的。

详情请参阅下列资料：-

How do you handle the logout process for applications federated with ADFS?

感谢你，