Google与ADFS3.0签署问题

Question

我们有一个谷歌应用程序帐户，我们使用我们的大部分工作。我们还使用ADFS3.0作为SSO提供程序对用户进行身份验证。一切都很好，在过程中的标志。然而，在签署协议时，一切都支离破碎。

我很久以前就遵循了一条指南，用本指南进行了设置和验证，并检查了其他一些设置，这些设置应该是正确的。

当从Google页面注册时，我们会被重定向到我们的AD登录url (https://<domainname>/adfs/ls/?wa=wsignout1.0)，然后得到一条消息，上面写着“您已经成功地被注销了”。然而，回到我们的自定义标志谷歌(mail.domainname)的网址，我们被直接签回谷歌，就好像我们没有按下退出按钮。

我已经做了一些调查，显然这是一个更大的问题。这篇关于Google产品论坛的文章确实有我的问题，有人建议联系谷歌的支持。在Google的支持下打了大约一个小时的电话后，他们决定这个问题来自我们的AD服务器，运行某种脚本让我们登录，我应该联系我们的web开发人员.

问题在AD的某个地方，但我似乎无法解决它，并希望有人遇到同样的问题，并能够提供一些指导。

Answer 1

这里的问题是，在如何配置SAML功能的IDP (如AD FS )以与Google应用联合使用方面，Google没有提供适当的指导。

您不应该使用adfs/ls/?wa=wsignout1.0，因为这是如何使用ws-联邦协议来启动签名的。您正在混合使用wsfed和SAML。有关wsfed语法的更多细节，请参见http://docs.oasis-open.org/wsfed/federation/v1.2/ws-federation.html。/adfs/ls是处理wsfed和SAML的AD FS的被动端点。

我希望谷歌提供一些类似于https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-google-apps-tutorial (但与AD相对应)的建议，说明如何配置AD。https://support.google.com/a/answer/60224?hl=en似乎是相关的，但我没有看到它们清楚地说明签名/签名URL和支持的相关绑定(post与重定向)或谷歌联合元数据来收集这些信息。据我所知，没有SAML单独的注销支持。如果是的话，这些文档很难被发现。

您需要Google向/adfs/ls发送SAML注销请求，同样，还需要在Google应用程序上配置一个URL来发送SAML注销响应。并且该注销响应不会发送到/adfs/ls/?wa=wsignout1.0。谷歌应该能够回答这个问题。

我不是谷歌应用的专家，所以我不能再评论了。假设你得到了谷歌的有偿支持，你应该尝试在谷歌的支持范围内升级，以获得一个更好的答案。