我们的ADFS设置存在一个奇怪的问题,但我无法理解它为什么会发生。
ADFS用于连接由云提供商托管的Sharepoint。他们的域名叫做cloudsp.eu。我们的内部域称为" hobnobs.internal.eu"
我们有一个Web代理,其公共DNS记录为" login.cloudsp.eu"。 WAP将已发布的Web应用程序配置为外部和内部URL https://login.cloudsp.eu。
内部ADFS联合身份验证服务名称为login.cloudsp.eu
它还有一个login.cloudsp.eu的主机条目文件,它指向我们的内部ADFS服务器,以便它可以解析名称
我们的内部DNS还有一个名为login.cloudsp.eu的空DNS区域,配置为解析到内部ADFS服务器,以便内部网络上的客户端不会解析为WAP。
现在,这一切都运作良好。内部客户端无需通过WAP即可获得SSO,外部客户端访问WAP,然后重定向到云提供商的ADFS,他们必须使用他们的Sharepoint凭据进行身份验证。
问题在于: -
内部客户端通过SSO连接并通过ADFS进行身份验证。 然后他们断开连接并直接连接到Internet。 当他们再次启动浏览器时,他们立即获得INTERNAL ADFS服务器的ADFS登录(理论上,他们永远不会看到)。 似乎正在发生的事情是他们点击WAP将请求转发到内部ADFS服务器,该服务器显示我们内部ADFS服务器的登录屏幕
这仅发生在这种特定情况下(即已经通过SSO连接)并且清除浏览器的缓存修复了该问题。所以,我假设ADFS在某处存储了某种cookie或其他令牌,并且浏览器在尝试进行身份验证时会重新使用它?
仅供参考 - KMSI和PersistentSSO都被禁用。
答案 0 :(得分:0)
可能发生的事情是,ADFS有一个cookie,可以记住HRD的选择,并绕过此检查以进行后续尝试。
默认情况下,此Cookie有效期为30天。您可以将其关闭或延长时间。
e.g。 Set-AdfsWebConfig -HRDCookieLifetime 90