Até o mês passado (Maio/2016) o Chrome tinha uma limitação para acesso ao ADFS com Single Sign-On (SSO).
Como o Chrome não implementava uma função chamada “ExtendedProtectionTokenCheck”, para funcionar era necessário baixar a segurança do ADFS rodando “Set-ADFSProperties –ExtendedProtectionTokenCheck None”, e muitos clientes não faziam isso, por questões de segurança.
Em Maio de 2016 foi lançado o Chrome v.51.0.2784 que corrige esse problema e o Chrome consegue fazer SSO com ADFS, sem baixar a segurança do ADFS.
Lembrando que o SSO com Chrome não é automático com ADFS, é preciso adicionar o User-Agent do Chrome (Mozilla/5.0) no ADFS com o seguinte comando:
Set-ADFSProperties -WIASupportedUserAgents @(“MSIE 6.0”, “MSIE 7.0”, “MSIE 8.0”, “MSIE 9.0”, “MSIE 10.0”, “Trident/7.0”, “MSIPC”, “Windows Rights Management Client”, “Mozilla/5.0”,”Edge/12”)
OBS.: Nessa linha de comando acima, já está sendo adicionado o User-Agent do Edge também.
Ações importantes:
- Atualizar o Chrome para v.51.0.2784 ou superior;
- No ADFS, para quem baixou a segurança, rodar o comando “Set-ADFSProperties –ExtendedProtectionTokenCheck Required”;
- Fazer backup dos user-agents já configurados no ADFS com o commando Get-ADFSProperties;
- No ADFS adicionar o User-Agent para o Chrome rodando o comando “Set-ADFSProperties -WIASupportedUserAgents @(“MSIE 6.0”, “MSIE 7.0”, “MSIE 8.0”, “MSIE 9.0”, “MSIE 10.0”, “Trident/7.0”, “MSIPC”, “Windows Rights Management Client”, “Mozilla/5.0”,”Edge/12”).
Ref. http://jackstromberg.com/2014/03/adfs-v3-on-server-2012-r2-allow-chrome-to-automatically-sign-in-internally/ (este post ainda não foi atualizado)
Ref. https://bugs.chromium.org/p/chromium/issues/detail?id=270219