Estoy tratando de averiguar de dónde obtiene Google CHrome mi identidad cuando me autentico con un proveedor de identidad (SAML con autenticación de certificado). Lo que he probado:
Eliminar todas las cookies, contraseñas guardadas y archivos de caché
Eliminar mi certificado personal (con el que me autentico) de mi tienda personal)
En Firefox, esto es suficiente para que el IDP cierre sesión y me solicite el certificado nuevamente si actualizo la página, pero en Chrome, ¡simplemente vuelve a iniciar sesión!
en chrome://password-manager-internals/, puedo ver el proceso de carga de una contraseña (no sé cuál, ya que la única contraseña que ingresé fue la para descifrar mi certificado de usuario, que eliminé):
Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
Action : https://ADFS-IDP/ ,
Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
Action : https://ADFS-IDP/ ,
Form name or ID :
}
Mi pregunta es: ¿de dónde obtiene Chrome mi identidad y Firefox no? Supongo que Chrome tiene muchas funciones de autenticación basadas en Windows porque sucede lo mismo en el navegador Edge. ¿Alguna idea, por favor?
Respuesta1
La autenticación SAML utiliza AD FS u otro proveedor de identidad para SAML SSO; el navegador en sí nunca es un IdP. De hecho, Chrome tiene la capacidad de tomar el token de sesión de Windows y pasarlo al proveedor de servicios (SP). SAML en sí no utiliza el certificado como identidad, pero su servidor ADFS sí puede hacerlo. Si su ADFS está configurado para múltiples formas de identificar al usuario, funcionará incluso sin certificado.
Nota: ADFS normalmente utiliza la autenticación de certificado solo para la autenticación de usuarios externos cuando no se puede acceder a AD mientras la fuente de identidad principal sigue siendo AD.
Para que Azure AD tenga implementado SSO se utiliza un complemento especial "cuentas de windows 10". En la mayoría de los casos, muchas empresas utilizan el modo de identidad híbrida, por lo que Azure AD aprovecha la autenticación del usuario en ADFS local.
Nota: al eliminar un certificado y ya haberse autenticado en ADFS, su token de sesión se conserva en la sesión de Windows.
Si ejecuta Chrome en modo privado, el SSO no se producirá ya que este modo no tiene acceso al contexto de la sesión de Windows.
Para investigar más profundamente cómo ocurre la autenticación SAML en Chrome, recomiendo instalarDecodificador de mensajes SAMLenchufar. Esto le dará una idea de la solicitud y respuesta de SAML. En la solicitud debes comprobarsaml2p: Solicitud de autenticaciónysaml2: Emisor. yo miraríaAserciónConsumerServiceURLyDestinoen la solicitud para identificar de dónde viene.
También necesitas comprobarmuestra:Respuestay esEditor. Por el valor del emisor comprenderá qué ha respondido el IdP y en elSujetosesión de la carga útil verá cómo se identificó al usuario.
