Estou tentando descobrir de onde o Google CHrome busca minha identidade ao autenticar em um provedor de identidade (SAML com autenticação de certificado). O que tentei:
Exclua todos os cookies, senhas salvas e arquivos de cache
Excluir meu certificado pessoal (aquele com o qual eu me autentico) da minha loja pessoal)
No Firefox, isso é suficiente para fazer com que o IDP me desconecte e solicite o certificado novamente se eu atualizar a página, mas no Chrome, ele apenas me conecta novamente!
em chrome://password-manager-internals/ , posso ver o processo de carregamento de uma senha (não sei qual, pois a única senha que digitei foi aquela para descriptografar meu certificado de usuário que excluí!):
Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
Action : https://ADFS-IDP/ ,
Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
Action : https://ADFS-IDP/ ,
Form name or ID :
}
Minha pergunta é: de onde o Chrome tira minha identidade e o Firefox não? Suponho que o Chrome tenha muitos recursos de autenticação baseados no Windows porque a mesma coisa acontece no Edge Browser. Alguma ideia, por favor?
Responder1
A autenticação SAML usa AD FS ou outro provedor de identidade para SAML SSO, o navegador em si nunca é um IdP. Na verdade, o Chrome tem a capacidade de pegar o token de sessão do Windows e passá-lo ao Provedor de Serviços (SP). O próprio SAML não usa o certificado como identidade, mas o seu servidor ADFS pode. Se o seu ADFS estiver configurado para várias maneiras de identificar o usuário, isso funcionará mesmo sem certificado.
Nota: a autenticação de certificado normalmente é usada pelo ADFS apenas para autenticação de usuário externo quando o AD não está acessível enquanto a fonte de identidade primária ainda é o AD.
Para que o Azure AD tenha o SSO implementado, um suplemento especial é usado "Contas do Windows 10". Na maioria dos casos, o modo de identidade híbrida é usado por muitas empresas, portanto, o Azure AD aproveita a autenticação do usuário para o ADFS local.
Obs: ao deletar um certificado e já ter autenticado no ADFS seu token de sessão é preservado na sessão do Windows.
Se você executasse o Chrome no modo Privado, o SSO não aconteceria, pois esse modo não tem acesso ao contexto da sessão do Windows.
Para investigar mais profundamente como a autenticação SAML está acontecendo no Chrome, recomendo instalarDecodificador de mensagens SAMLplugar. Isso lhe dará uma pista da solicitação e resposta SAML. Na solicitação você deve verificarsaml2p:AuthnRequestesaml2:Emissor. eu olhariaAsserçãoConsumerServiceURLeDestinona solicitação para identificar de onde vem.
Também você precisa verificarsamlp:Respostae os seusEmissor. Pelo valor do emissor você entenderá o que o IdP respondeu e noAssuntosessão da carga útil você verá como o usuário foi identificado.
