Google Apps com problemas de saída do AD FS 3.0

1

Temos uma conta do Google Apps que usamos na maior parte do nosso trabalho. Também usamos o AD FS 3.0 como um provedor de SSO para autenticar usuários. Tudo funciona muito bem com o processo de login. No entanto, ao sair, tudo fica em pedaços.

Eu segui um guia há muito tempo para configurá-lo e verifiquei as configurações com este guia e checou alguns outros e as configurações devem estar corretas.

Ao sair de uma página do Google, somos redirecionados para a saída do AD FS do url (https://<domainname>/adfs/ls/?wa=wsignout1.0) e, em seguida, recebemos uma mensagem que diz "Você foi desconectado com sucesso". No entanto, voltando ao nosso URL de login personalizado para o Google (mail.domainname) , estamos conectados diretamente ao Google como se não tivéssemos acertado o botão de saída.

Eu já fiz algumas pesquisas e, aparentemente, esse é um problema maior. Esta postagem no Fórum de produtos do Google tem o problema exato que estou tendo e alguém sugeriu entrar em contato Suporte do Google. Depois de falar no telefone por cerca de uma hora com o suporte do Google, eles decidiram que o problema era que nosso servidor do AD FS executava algum tipo de script que nos mantinha logado e eu deveria entrar em contato com nosso desenvolvedor da Web ...

O problema está em algum lugar dentro do AD FS, mas não consigo entender e espero que alguém tenha se deparado com o mesmo problema e possa fornecer alguma orientação.

    
por tyelford 19.04.2017 / 02:51

1 resposta

2

O problema é que você não recebeu orientação adequada do Google sobre como configurar um IDP compatível com SAML, como o AD FS, para federar com os aplicativos do Google.

Você não deve usar adfs / ls /? wa = wsignout1.0, pois é assim que você usa o protocolo ws-federation para iniciar uma sessão. Você está misturando o uso de wsfed e SAML. Consulte o link para obter mais detalhes sobre a sintaxe de desconexão do wsfed. / adfs / ls é o ponto de extremidade passivo do AD FS que processa o wsfed e o SAML.

Espero que o Google forneça alguns conselhos semelhantes a link (mas correspondente ao AD FS) sobre como configurar o lado do AD FS. O link parece relevante, mas não os vejo indicar claramente os URLs de entrada / saída e os links relevantes Ligações suportadas (pós-redirecionamento) ou metadados da federação do google para obter essas informações. Pelo que posso dizer, não há suporte a logout único SAML disponível. Se for, os documentos não são facilmente detectáveis.

Você precisa que o Google envie uma solicitação de logoff do SAML para / adfs / ls e também precisa configurar o AD FS com um URL sobre onde os aplicativos do Google enviarão uma resposta de logoff do SAML. e essa resposta de logout não deve ser enviada para /adfs/ls/?wa=wsignout1.0. O Google deve poder responder isso.

Não sou especialista em aplicativos do Google, portanto não posso comentar mais. Supondo que você receba suporte pago do Google, tente escalar dentro do suporte do Google para obter uma resposta melhor.

    
por 20.04.2017 / 23:40