Azure Active Directory Safari 重定向问题

Question

使用最新版本的 Safari (12) 在 Mac OS 和 iOS 设备上登录 Microsoft Online 似乎存在当前问题。

Safari 12 的更新显示在此处：https://developer.apple.com/safari/whats-new/

由于一些新的安全和隐私更新，似乎存在导致登录端点时无限重定向的 cookie 问题：http://login.microsoftonline.com

此新更新导致 Apple 设备上的 Safari 用户在登录时进入重定向无限循环。

这很可能是由于 Safari 不让 Microsoft cookie 通过，这导致 Microsoft 的服务器重定向回登录页面以获取所需的 cookie。但是，浏览器仍然有一些身份信息，导致用户重新自动登录，重定向到服务器。 cookie 仍然没有随请求一起发送，导致服务器将用户发送回登录页面。这种来自服务器和浏览器的重定向似乎是无限重定向背后的主要原因。

是否有任何更新、推理或解决方案来解决/解决 Safari 和 Microsoft 登录重定向问题背后的问题？

Answer 1

你是对的。 AAD 的 Safari 兼容性存在一些已知问题。您可以在 User Voice 中提出新功能请求，或者投票并订阅一些现有功能。

https://support.microsoft.com/en-us/help/2535227/a-federated-user-is-prompted-unexp https://feedback.azure.com/forums/223579-azure-portal/suggestions/34373635-fix-signing-in-in-safari https://feedback.azure.com/forums/223579-azure-portal/suggestions/7513912-does-not-work-well-on-safari-but-works-fine-on-chr

更新：产品团队已经回复并回复说这是 Apple 的问题。目前的状态是苹果团队和微软的PG团队都在努力，但是微软的开发团队也无能为力，因为微软这边并没有错。问题是由于新的隐私和安全更新，Apple 没有正确地将 cookie 发送到 login.microsoftonline 服务器。 https://developer.apple.com/safari/whats-new/

Answer 2

在 GitHub 上有一个由 aspnet/安全团队记录的解决方案。

https://github.com/aspnet/Security/issues/1864

如果您使用的是 ASP.NET Core Identity，您可以通过以下方式禁用保护 使用以下代码配置 cookie

services.ConfigureExternalCookie(options => {
    // Other options
    options.Cookie.SameSite = SameSiteMode.None; }); services.ConfigureApplicationCookie(options => {
    // Other options
    options.Cookie.SameSite = SameSiteMode.None; });

如果您在没有 ASP.NET Core 身份的情况下使用 cookie 身份验证，您可以关闭 使用以下代码进行保护

services.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options => {
    // Other options
    options.Cookie.SameSite = Microsoft.AspNetCore.Http.SameSiteMode.None; })

如果您使用的是外部 OIDC 提供商，则可以避免 通过将提供商使用的响应模式从 POST 更改为 GET 请求，使用以下代码。并非所有提供商都支持 这个。

.AddOpenIdConnect("myOIDProvider", options => {
    // Other options
    options.ResponseType = "code";
    options.ResponseMode = "query";
};