쿠키를 삭제한 후 Chrome은 어디에서 내 신원을 가져오나요?

tag-icon tag-icon certificate cookies saml chrome identity-management
쿠키를 삭제한 후 Chrome은 어디에서 내 신원을 가져오나요?

ID 공급자(인증서 인증이 포함된 SAML)에 인증할 때 Google CHrome이 내 ID를 어디에서 가져오는지 알아내려고 합니다.

쿠키, 저장된 비밀번호, 캐시 파일 모두 삭제

내 개인 저장소에서 내 개인 인증서(내가 인증한 인증서)를 삭제합니다.

Firefox에서는 IDP가 로그아웃하고 페이지를 새로 고칠 때 인증서를 다시 묻는 메시지를 표시하는 데 충분하지만 Chrome에서는 다시 로그인됩니다!

chrome://password-manager-internals/ 에서 비밀번호를 로드하는 과정을 볼 수 있습니다. (제가 입력한 유일한 비밀번호는 제가 삭제한 사용자 인증서를 해독하는 비밀번호였기 때문에 어떤 비밀번호인지 모르겠습니다!)

Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}

내 질문은: Chrome은 Firefox가 제공하지 않는 내 ID를 어디서 얻나요? Edge 브라우저에서도 동일한 일이 발생하기 때문에 Chrome에는 Windows 기반 인증 기능이 많이 있는 것 같습니다. 어떤 아이디어가 있으신가요?

답변1

SAML 인증은 AD FS 또는 SAML SSO용 다른 ID 공급자를 사용하며 브라우저 자체는 IdP가 아닙니다. 실제로 Chrome에는 Windows 세션 토큰을 가져와 서비스 제공업체(SP)에 전달하는 기능이 있습니다. SAML 자체는 인증서를 ID로 사용하지 않지만 ADFS 서버는 사용할 수 있습니다. ADFS가 사용자를 식별하는 여러 방법으로 구성된 경우 인증서 없이도 수행됩니다.

참고: 인증서 인증은 기본 ID 소스가 여전히 AD인 동안 AD에 연결할 수 없는 경우 외부 사용자 인증을 위해서만 ADFS에서 일반적으로 사용됩니다.

Azure AD에서 SSO를 구현하려면 특수 추가 기능이 사용됩니다.윈도우 10 계정". 대부분의 경우 하이브리드 ID 모드는 많은 회사에서 사용되므로 Azure AD는 온-프레미스 ADFS에 대한 사용자 인증을 활용합니다.

참고: 인증서를 삭제하고 ADFS에서 이미 인증한 경우 세션 토큰은 Windows 세션에 보존됩니다.

비공개 모드에서 Chrome을 실행하는 경우 이 모드에서는 Windows 세션 컨텍스트에 액세스할 수 없으므로 SSO가 발생하지 않습니다.

Chrome에서 SAML 인증이 어떻게 발생하는지 더 자세히 조사하려면 설치하는 것이 좋습니다.SAML 메시지 디코더플러그인. 이를 통해 SAML 요청 및 응답에 대한 단서를 얻을 수 있습니다. 요청에서 확인해야 할 사항saml2p:인증요청그리고saml2:발급자. 나는 볼 것이다어설션ConsumerServiceURL그리고목적지그것이 어디서 왔는지 확인하라는 요청에서.

또한 확인해야 할 사항샘플:응답그리고 그것은발급자. 발급자 값을 통해 IdP가 응답한 내용과주제페이로드 세션에서 사용자가 어떻게 식별되었는지 확인할 수 있습니다. SAML 요청 SAML 응답

관련 정보