OpenID Connect是否支持单点注销（Single Logout）？

Question

OpenID Connect是否支持单点注销（Single Logout）？

3

根据我所做的研究，我认为ADFS(2016)支持OpenID Connect会话管理。但是，我找不到我们安装的ADFS 2016服务器的end_session_endpoint。我在Azure (https://login.windows.net/contoso.com/.well-known/openid-configuration)中发现了这个终端点，其为https://login.microsoftonline.com/[tenant]/oauth2/v2.0/logout。但不幸的是，在我们的安装中没有类似的终端点。例如，我们有授权终端点、令牌终端点、用户终端点等，但没有这个终端点。

我们需要通过不同的配置启用它吗，还是ADFS 2016在独立安装中不支持它？

感谢您的帮助。

- SureshAtt

2个回答

1

ADFS 2016支持单点注销，确保在所有AD FS服务器上安装了KB4038801。

更多信息，请参见https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/development/ad-fs-logout-openid-connect。

- Karthik Gunasekaran

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Hans Z. · Accepted Answer

1

我认为它并没有，即使它有的话：会话管理规范尚未最终确定（它是实施者的草案），事实上已经提出了替代方案，并且很难确保它针对任意RP工作。

- Hans Z.

在RP发起的注销规范中（http://openid.net/specs/openid-connect-session-1_0.html#RPLogout），定义了*post_logout_redirect_uri*参数。在MS Technet文章（https://technet.microsoft.com/en-us/library/mt593305.aspx）中，我可以看到示例中使用了相同的参数名称（ida:PostLogoutRedirectUri）。同时，在此处查看openid-configuration：https://login.windows.net/contoso.com/.well-known/openid-configuration。它有一个注销URL。因此，我怀疑它是受支持的。而且我们没有使用任意的RPs。 - SureshAtt

1

ADFS 4.0的当前版本支持单点注销功能，如果您检查/adfs/.well-known/openid-configuration端点，您会看到end_session_endpoint URL。答案已经两年了...所以情况有些变化。 - miha