Authentification ADFS sur plusieurs fenêtres de navigateur

Question

Je suis en train de développer une application MVC5 configurée pour utiliser ADFS comme fournisseur d'identité avec l'application Web faisant office de partie utilisatrice. L'application se comporte différemment sur IE9 et Chrome en ce qui concerne l'authentification.

Lorsque j'exécute l'application sur IE9 pour la première fois et que j'accède à une page nécessitant l'authentification de l'utilisateur, IE me demande de m'authentifier comme prévu. Mais quand je lance une nouvelle fenêtre IE9 et navigue vers la même page, IE me demande de m'authentifier à nouveau ce qui n'est pas attendu car il devrait savoir que je suis déjà connecté. Cependant, cela ne se produit pas sur Chrome. De même, sur IE9, lorsque je me déconnecte de l'application sur une instance, l'autre instance pense que je suis toujours connecté, alors que lorsque je lance deux instances de Chrome et que je me déconnecte D'autres savent que je suis déconnecté. Comment puis-je faire en sorte que IE9 se comporte de la même manière que Google Chrome? Est-ce un problème de configuration sur ADFS ou ai-je besoin de plus de code côté serveur dans l'application pour m'assurer que IE9 se comporte correctement?

Merci d'avance

Answer 1

Ce n'est pas AD FS. C'est la configuration du navigateur IE qui doit être explorée. Je suggère de prendre des traces de violoneux lorsque vous repro en utilisant deux fenêtres IE.

Je suppose que vous faites référence à AD FS 2.x ou à 2012 R2. Lorsque AD FS authentifie l'utilisateur, il écrit des cookies MSISAuth si les informations d'identification sont valides. Les applications WIF consomment des jetons d'AD FS et écrivent des cookies FedAuth. Lorsque la deuxième fenêtre du navigateur accède à l'application, si elle ne reçoit pas de cookie FedAuth, elle lance le flux pour demander l'authentification en redirigeant vers AD FS. Si AD FS ne reçoit pas les cookies MSISAuth, le client sera à nouveau authentifié.

Il semble que la deuxième fenêtre du navigateur n'utilise pas le même cookie et ne soit donc pas au courant des cookies FedAuth et MSISAuth. Je soupçonne que c'est ce qui se passe ici. Je suppose que vous testez à partir d'un PC fonctionnant sous IE et Chrome. Vous ne parlez pas beaucoup du navigateur OS/config donc je ne sais pas si ce sont des applications publiées par le serveur terminal d'une batterie (avec plusieurs instances de navigateurs sur les serveurs Terminal Server de la batterie) ou de simples installations sur un PC.

Il y a d'autres raisons pour lesquelles une autre invite pour les creds se produit. Vous pouvez configurer AD FS pour forcer une nouvelle authentification en désactivant l'authentification unique ou en configurant la stratégie d'authentification associée à RP pour exiger une nouvelle authentification. Mais vu le comportement du chrome, je ne pense pas que ce soit ça.

Nous avons besoin de revoir les traces de violoniste et la configuration du navigateur pour répondre plus précisément.

Si vous avez besoin d'aller au fond de cette question de manière urgente et plus rapide que les réponses au forum sont reçues, veuillez soulever un cas avec Microsoft.