none
ADFS SAML認証の動作について教えて下さい RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADFS(SAML認証)の動作について教えて下さい。

    IDPとしてWindowsServer2012R2 ADFSで使用しています。

    SPとのSSOログイン認証は上手く動作しているのですが、ログアウト処理が上手くいきません。

    そこで、以下に2点質問させて頂きたいと思いますので、もしご存じの方がいらっしゃいましたら
    ご教示頂ければと思います。

    ①証明書利用者信頼のログアウトエンドポイントに以下のURLを設定しております。

    https://<STSのアドレス>/adfs/ls/?wa=wsignout1.0

    SPにログインし、ログアウト後に上記のアドレスへ遷移され「正常にログアウトされました」と表示されます。
    しかし、そのままSPのサイトへ再度接続すると、ログイン認証を要求されず、自動的にログインされてしまいます。
    本来「正常にログアウトされました」と表示された場合はSAMLトークン(もしくはCookie)が削除され
    SPサイトへログインを試みると認証が問われると考えております。

    上記の考え方は間違っているのでしょうか。

    ②ログアウト処理ではSAMLトークン(もしくはCookie)が削除されると認識しております。

    その削除処理はIDPのログアウト処理によって削除されるのか、IDPのエンドポイントにSPの

    ログアウトURLを入力し、そのSPに遷移された際に削除されるのか、どちらの動きになるのでしょうか。
    (上記の考え方自体が間違っていれば申し訳ございません)

    SPサイト等、具体的な情報が記載出来ず申し訳ございません。
    上記レベルでご回答頂ける様であれば、ご教示よろしくお願い致します。

    2019年11月12日 15:12
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、SAMLの仕様上の話しうんぬんは関係なく、単にブラウザーの仕様の問題かと思います。

    MSのブラウザー(IE)は、ブラウザ内で入力したIDとパスワードは、サインアウトしてもオンメモリ上に資格情報として記憶しています。これを完全消去する場合、「ブラウザーを閉じる」(ブラウザーのプロセスを終了)を必ず行う必要があります。開いたままなので、この資格情報が消えていないのではないでしょうか?

    万一、プロセス終了後、再度起動してもパスワード入力が発生しない場合、コントロールパネルの[ユーザーアカウント]-[資格情報マネージャー]に誤ってIDとパスワードが記録されている可能性があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年11月14日 5:03
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、SAMLの仕様上の話しうんぬんは関係なく、単にブラウザーの仕様の問題かと思います。

    MSのブラウザー(IE)は、ブラウザ内で入力したIDとパスワードは、サインアウトしてもオンメモリ上に資格情報として記憶しています。これを完全消去する場合、「ブラウザーを閉じる」(ブラウザーのプロセスを終了)を必ず行う必要があります。開いたままなので、この資格情報が消えていないのではないでしょうか?

    万一、プロセス終了後、再度起動してもパスワード入力が発生しない場合、コントロールパネルの[ユーザーアカウント]-[資格情報マネージャー]に誤ってIDとパスワードが記録されている可能性があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年11月14日 5:03
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    ご教示ありがとうございます。

    言葉足らずで申し訳ございません。

    確認方法としては

    ①IE(およびEdge)を起動し、SPへログイン。

    (この時、STSのログイン認証画面が表示される)

    ②その後、ログアウト処理を行いSTSから「正常にログアウトされました」と表示される。

    ③ブラウザを終了。(タスクマネージャからプロセスが消える事を確認)

    ④再度①を繰り返すが、STSログイン認証画面が出てこない・・

    資格マネージャを確認し、ADAL認証によるWindows証明書は表示されてましたが

    一旦全てを削除するが状況は変わりませんでした。

    ただ、少し気になる事がございまして、私の認識ではADFSの証明書利用者信頼のログアウトエンドポイントで

    以下のURLを設定しています。

    https://<STSのアドレス>/adfs/ls/?wa=wsignout1.0

    この画面に遷移する事でSAMLトークン等が削除されると思っているのですが

    改めて調べると、その様な記載がどこにも見当たらなく・・。

    もしかすると、ADFSからログアウトは行っているが、SAMLトークンは削除する動きをしてない気もしてきました。

    もし、上記のURLの役目をご存じの方がいらっしゃいましたら、ご教示頂けるとありがたいです。

    以上、よろしくお願い致します。

    2019年11月18日 15:20
    |