Ich versuche herauszufinden, woher Google Chrome meine Identität bezieht, wenn ich mich bei einem Identitätsanbieter authentifiziere (SAML mit Zertifikatauthentifizierung). Was ich versucht habe:
Löschen Sie alle Cookies, gespeicherten Passwörter und Cache-Dateien
Löschen Sie mein persönliches Zertifikat (das, mit dem ich mich authentifiziere) aus meinem persönlichen Speicher.
Bei Firefox reicht dies aus, damit der IDP mich abmeldet und mich beim Aktualisieren der Seite erneut zur Eingabe des Zertifikats auffordert. Bei Chrome werde ich jedoch einfach wieder angemeldet!
Unter chrome://password-manager-internals/ kann ich den Vorgang des Ladens eines Passworts sehen (ich weiß nicht, welches, da das einzige Passwort, das ich eingegeben habe, das zum Entschlüsseln meines Benutzerzertifikats war, das ich gelöscht habe!):
Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
Action : https://ADFS-IDP/ ,
Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
Action : https://ADFS-IDP/ ,
Form name or ID :
}
Meine Frage ist: Woher bekommt Chrome meine Identität, was Firefox nicht kann? Ich vermute, dass Chrome viele Windows-basierte Authentifizierungsfunktionen hat, weil das Gleiche im Edge-Browser passiert. Irgendwelche Ideen?
Antwort1
Die SAML-Authentifizierung verwendet AD FS oder einen anderen Identitätsanbieter für SAML SSO, der Browser selbst ist nie ein IdP. Tatsächlich kann Chrome das Windows-Sitzungstoken übernehmen und an den Dienstanbieter (SP) weitergeben. SAML selbst verwendet das Zertifikat nicht als Identität, Ihr ADFS-Server jedoch möglicherweise. Wenn Ihr ADFS so konfiguriert ist, dass der Benutzer auf mehrere Arten identifiziert werden kann, funktioniert dies auch ohne Zertifikat.
Hinweis: Die Zertifikatsauthentifizierung wird von ADFS normalerweise nur zur externen Benutzerauthentifizierung verwendet, wenn AD nicht erreichbar ist, während AD weiterhin die primäre Identitätsquelle ist.
Für die SSO-Implementierung in Azure AD wird ein spezielles Add-In verwendet.Windows 10-Konten". In den meisten Fällen wird von vielen Unternehmen der Hybrididentitätsmodus verwendet, daher nutzt Azure AD die Benutzerauthentifizierung für lokales ADFS.
Hinweis: Wenn Sie ein Zertifikat löschen und sich bereits bei ADFS authentifiziert haben, bleibt Ihr Sitzungstoken in der Windows-Sitzung erhalten.
Wenn Sie Chrome im privaten Modus ausführen würden, würde SSO nicht stattfinden, da dieser Modus keinen Zugriff auf den Windows-Sitzungskontext hat.
Um genauer zu untersuchen, wie SAML-Authentifizierung in Chrome funktioniert, empfehle ich die InstallationSAML-NachrichtendecoderPlugin. Dies gibt Ihnen einen Hinweis auf SAML-Anforderung und -Antwort. In der Anforderung sollten Sie überprüfensaml2p:AuthnRequestUndsaml2:AusstellerIch würde mir ansehenAssertionConsumerServiceURLUndZielin der Anfrage, um zu identifizieren, woher es kommt.
Außerdem müssen Sie überprüfensamlp:Antwortund seinAussteller. Anhand des Ausstellerwerts können Sie erkennen, was der IdP geantwortet hat und in derThemaSitzung der Nutzlast sehen Sie, wie der Benutzer identifiziert wurde.
