Acontece que isso foi um bug no ADFS 3.0. Não sei se foi resolvido em um lançamento mais recente.
Durante vários anos, usei o ADFS 2.x como um IDP de SAML que funciona com a autenticação passiva SAML. Quando o sinalizador isPassive = true foi definido na solicitação, a resposta incluiria a seguinte seção StatusCode:
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder">
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:NoPassive"/>
</samlp:StatusCode>
</samlp:Status>
com um código de status secundário de NoPassive para indicar que o usuário ainda não estava conectado ao ADFS.
No entanto, na minha nova instância do ADFS 3.0, a resposta não inclui o substatus NoPassive, portanto, não há como determinar se a resposta é um erro genérico ou se é o comportamento esperado do NoPassive. Eu gostaria que o comportamento fosse o mesmo.
Existe uma nova configuração para isso ou algo mais que está faltando?
Tags active-directory adfs