ADFS2.0，如何清除凭证缓存？

Question

很长一段时间以来，我都遇到了这个问题，却找不到解决的办法。一开始是我使用ADFS2.0的网站，即使打开了正确的签名网址也无法登录。我以为那是些饼干没清理干净。之后，我发现这可能是ADFS服务器的问题。

我试过：

1. 停止iis服务器，所以我根本没有我的网站，只是测试adfs。
2. 清除我的浏览器cookie。关闭并重新打开。所以它是干净的。
3. 直接登录到adfs，例如：https://mydomain/adfs/ls/?wtrealm=mysite&wa=wsignin1.0，这里我得到用户名和密码的弹出窗口。
4. 通过访问直接注销：https://mydomain/adfs/ls/?wtrealm=mysite&wa=wsignout1.0
5. 清除我的浏览器cookie。
6. 再次尝试使用url 3登录。我登录了却没有看到任何弹出。在浏览器开发工具中。我看到了重定向到我的网站。

我使用Fiddler来捕获流量，似乎身份验证使用的是NTLM。看起来浏览器从某个地方获得了凭据(而不是已经确认的cookie中)。返回弹出窗口的唯一方法是关闭浏览器进程，并重新打开登录url。有谁知道怎么才能让它真正的签字吗？

Answer 1

这是因为您的ADFS服务在您的corpnet中使用windows集成身份验证，并且无缝地使用ADFS服务的新AD服务票证(技术上是另一种身份验证)在其中签名。这与支持windows集成身份验证的IIS web应用程序没有什么不同。

如果您从extranet访问，您将不会看到这一点。

在某些情况下，您关心的是如何让用户交互登录。这样做的方法是(这里的选择是2012R2)

1. 在ADFS服务上配置MFA，并为应用程序配置MFA。这将基本上无缝地登录您，但提示第二个因素。
2. 增强(更高的安全性)以忽略任何SSO (默认情况下为8小时)，并在应用程序上设置“AlwaysRequireAuthentication”标志。

通过ADFS 2016，我们可以更好地支持prompt=login而不是WS-Fed或OAuth/OpenIDConnect，这甚至会忽略Windows模式。

希望这能有所帮助。

谢谢//山姆(推特：@MrADFS)