【问题标题】:ADFS/DNS issue when users disconnect from internal LAN and connect directly to Internet用户从内部 LAN 断开连接并直接连接到 Internet 时出现 ADFS/DNS 问题
【发布时间】:2018-08-29 09:30:48
【问题描述】:

我们的 ADFS 设置有一个奇怪的问题,但我不明白为什么会这样。

ADFS 用于连接到由云提供商托管的 Sharepoint。他们的域名叫做cloudsp.eu。我们的内部域称为“hobnobs.internal.eu”

我们有一个公共 DNS 记录为“login.cloudsp.eu”的 Web 代理。 WAP 有一个已发布的 Web 应用程序,配置为外部和内部 URL 为 https://login.cloudsp.eu

内部 ADFS 联合服务名称是 login.cloudsp.eu

它还有一个用于 login.cloudsp.eu 的主机入口文件,该文件指向我们的内部 ADFS 服务器,以便它可以解析名称

我们的内部 DNS 也有一个名为 login.cloudsp.eu 的空 DNS 区域,配置为解析到内部 ADFS 服务器,这样内部网络上的客户端就不会解析到 WAP。

现在,这一切都很好。内部客户端无需通过 WAP 即可获得 SSO,外部客户端点击 WAP,然后被重定向到云提供商的 ADFS,在那里他们必须使用其 Sharepoint 凭据进行身份验证。

问题是这样的:-

内部客户端通过 SSO 连接到 ADFS 并进行身份验证。 然后他们断开连接并直接连接到 Internet。 当他们再次启动浏览器时,他们会立即获得 INTERNAL ADFS 服务器的 ADFS 登录信息(理论上,他们不应该看到)。 似乎正在发生的事情是他们点击了 WAP,该 WAP 将请求转发到内部 ADFS 服务器,该服务器显示了我们内部 ADFS 服务器的登录屏幕

这只发生在这种特定情况下(即已经通过 SSO 连接)并且清除浏览器的缓存可以解决问题。所以,我假设 ADFS 在某处存储了某种 cookie 或其他令牌,并且浏览器在尝试进行身份验证时会重新使用它?

仅供参考 - KMSI 和 PersistentSSO 均已禁用。

【问题讨论】:

    标签: cookies dns adfs


    【解决方案1】:

    可能发生的情况是 ADFS 有一个 cookie,它会记住 HRD 选择并绕过此检查以进行后续尝试。

    默认情况下,此 cookie 的有效期限为 30 天。您可以将其关闭或延长时间。

    例如设置-AdfsWebConfig -HRDCookieLifetime 90

    【讨论】:

      猜你喜欢
      • 2020-11-27
      • 2020-07-09
      • 2015-03-07
      • 2021-03-13
      • 1970-01-01
      • 2011-11-15
      • 1970-01-01
      • 1970-01-01
      • 2021-09-12
      相关资源
      最近更新 更多