クッキーを削除した後、Chrome はどこから私の ID を取得するのでしょうか?

tag-icon tag-icon certificate cookies saml chrome identity-management
クッキーを削除した後、Chrome はどこから私の ID を取得するのでしょうか?

Google CHrome が ID プロバイダー (証明書認証を使用した SAML) に認証するときに、どこから ID を取得するのかを知りたいのですが、試したことは次のとおりです。

すべてのクッキー、保存されたパスワード、キャッシュファイルを削除します

個人ストアから個人証明書(認証に使用した証明書)を削除します。

Firefox では、ページを更新すると IDP からサインアウトされ、再度証明書の入力を求められますが、Chrome では再度ログインするだけです。

chrome://password-manager-internals/ では、パスワードを読み込むプロセスを確認できます (入力したパスワードは、削除したユーザー証明書を復号化するためのパスワードのみであるため、どのパスワードかはわかりません)。

Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}

私の質問は、Chrome は Firefox では取得できない私の ID をどこから取得するのかということです。Edge ブラウザでも同じことが起こるので、Chrome には Windows ベースの認証機能が多数あると推測しています。何かアイデアはありますか?

答え1

SAML 認証では、SAML SSO に AD FS または別の ID プロバイダーを使用します。ブラウザ自体は IdP ではありません。実際、Chrome には Windows セッション トークンを取得してサービス プロバイダー (SP) に渡す機能があります。SAML 自体は証明書を ID として使用しませんが、ADFS サーバーは使用する場合があります。ADFS がユーザーを識別する複数の方法に構成されている場合は、証明書がなくても機能します。

注: 証明書認証は通常、プライマリ ID ソースが AD のままで AD にアクセスできない場合に、ADFS によって外部ユーザー認証にのみ使用されます。

Azure ADにSSOを実装するには特別なアドインが使用されます。Windows 10 アカウントほとんどの場合、多くの企業ではハイブリッド ID モードが使用されているため、Azure AD はオンプレミスの ADFS へのユーザー認証を活用します。

注意: 証明書を削除し、ADFS で既に認証されている場合、セッション トークンは Windows セッションに保存されます。

Chrome をプライベート モードで実行する場合、このモードでは Windows セッション コンテキストにアクセスできないため、SSO は実行されません。

ChromeでSAML認証がどのように行われるかをより深く調査するには、インストールすることをお勧めしますSAML メッセージ デコーダープラグイン。これにより、SAMLリクエストとレスポンスの手がかりが得られます。リクエストでは、saml2p:認証リクエストそしてsaml2:発行者私は見てみるアサーションコンシューマサービスURLそして行き先リクエストの送信元を特定します。

また、確認する必要があるsampl:レスポンスそしてそれは発行者発行者値によってIdPが何を応答したかがわかります。主題ペイロードのセッションでは、ユーザーがどのように識別されたかがわかります。 SAMLリクエスト SAML レスポンス

関連情報