【发布时间】:2018-08-29 09:30:48
【问题描述】:
我们的 ADFS 设置有一个奇怪的问题,但我不明白为什么会这样。
ADFS 用于连接到由云提供商托管的 Sharepoint。他们的域名叫做cloudsp.eu。我们的内部域称为“hobnobs.internal.eu”
我们有一个公共 DNS 记录为“login.cloudsp.eu”的 Web 代理。 WAP 有一个已发布的 Web 应用程序,配置为外部和内部 URL 为 https://login.cloudsp.eu。
内部 ADFS 联合服务名称是 login.cloudsp.eu
它还有一个用于 login.cloudsp.eu 的主机入口文件,该文件指向我们的内部 ADFS 服务器,以便它可以解析名称
我们的内部 DNS 也有一个名为 login.cloudsp.eu 的空 DNS 区域,配置为解析到内部 ADFS 服务器,这样内部网络上的客户端就不会解析到 WAP。
现在,这一切都很好。内部客户端无需通过 WAP 即可获得 SSO,外部客户端点击 WAP,然后被重定向到云提供商的 ADFS,在那里他们必须使用其 Sharepoint 凭据进行身份验证。
问题是这样的:-
内部客户端通过 SSO 连接到 ADFS 并进行身份验证。 然后他们断开连接并直接连接到 Internet。 当他们再次启动浏览器时,他们会立即获得 INTERNAL ADFS 服务器的 ADFS 登录信息(理论上,他们不应该看到)。 似乎正在发生的事情是他们点击了 WAP,该 WAP 将请求转发到内部 ADFS 服务器,该服务器显示了我们内部 ADFS 服务器的登录屏幕
这只发生在这种特定情况下(即已经通过 SSO 连接)并且清除浏览器的缓存可以解决问题。所以,我假设 ADFS 在某处存储了某种 cookie 或其他令牌,并且浏览器在尝试进行身份验证时会重新使用它?
仅供参考 - KMSI 和 PersistentSSO 均已禁用。
【问题讨论】: