带有AD FS 3.0的Google Apps注销问题

我们有一个Google Apps帐户,用于我们大部分的工作。 我们还使用AD FS 3.0作为SSO提供程序来对用户进行身份validation。 一切正常login过程中的作品。 然而,退出时,这一切都崩溃了。

我很久以前就跟着一个指导来进行设置,并通过本指南对设置进行了validation,并检查了其他几项,设置应该是正确的。

从Google网页注销时,我们会将其redirect到我们的AD FS注销url(https://<domainname>/adfs/ls/?wa=wsignout1.0) ,然后会显示一条消息:“您已成功退出”。 但是,回到Google的自定义loginurl(mail.domainname)我们会直接回到Google,就好像我们没有点击退出button一样。

我已经做了一些挖掘,显然这是一个更大的问题。 Google产品论坛上的这篇文章有我遇到的确切问题,有人build议联系Google支持。 在与Google支持部门联系了一个小时后,他们决定从我们的AD FS服务器运行某种脚本来保持我们的login状态,我应该联系我们的Web开发人员。

问题在AD FS内部,但我似乎无法弄清楚,希望有人遇到同样的问题,并能提供一些指导。

这里的问题是,您还没有从Google提供适当的指导,以了解如何configuration支持SAML的IDP(如AD FS)与Google应用程序联合。

您不应该使用adfs / ls /?wa = wsignout1.0,因为这是您使用ws-federation协议来启动注销的方式。 您正在混合使用wsfed和SAML。 请参阅http://docs.oasis-open.org/wsfed/federation/v1.2/ws-federation.html以获取有关wsfed签名语法的更多详细信息&#x3002; / adfs / ls是处理wsfed和SAML的AD FS的被动端点。

我希望Google提供一些类似于https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-google-apps-tutorial (但与AD FS相对应)的build议,configurationAD FS侧。 https://support.google.com/a/answer/60224?hl=en似乎相关,但我没有看到他们清楚地说明login/注销url和支持的相关绑定(发布vsredirect)或谷歌联合元数据从那里收集信息&#x3002; 据我所知,没有可用的SAML单一注销支持。 如果是的话,这些文档不容易被发现。

您需要Google向/ adfs / ls发送SAML注销请求,同样,您需要为AD FSconfiguration一个URL,以便Google应用程序发送SAML注销响应。 并且注销响应不会发送到/adfs/ls/?wa=wsignout1.0。 Google应该能够回答这个问题。

我不是谷歌应用程序的专家,所以我不能再评论。 假设您从Google获得付费支持,则应尝试在Google支持中升级以获得更好的答案。