[.NET] Client certificaat sessie uitloggen

Beste Mensen,

Na lang zoeken heb ik nog niets gevonden om gebruikers uit te loggen die met een client certificaat (X.509) zijn ingelogd. Heeft er iemand een idee hoe ik dit in C# of VB kan oplossen? Ik heb oplossingen vanuit de client (javascript) gezien, maar dat werkt alleen bij IE. Er moet toch een manier zijn om de sessie vanaf de server te beeindigen?

De omgeving is: .NET 3.5 IIS7

@leuk_he: De session.abondon() verbreekt inderdaad de sessie, maar niet de client certificaat sessie.

Wij hebben een active directory met een certificate service draaien om gebruikers te herkennen. Als men het juiste certificaat in de browser selecteerd zal IIS het certificaat met een AD gebruiker matchen en heeft als uitkomst een ingestelde Page.User.Identity of een 403 error

Nu kan het voorkomen dat één klant meerdere portals moet kunnen benaderen, maar daarvoor heeft hij wel een ander certificaat nodig. Het probleem is dat als je éénmaal een certificaat hebt gekozen je er niet mee kunt uitloggen (althans dat is de vraag). Het certificaat komt immers wel door de IIS controle, maar in specifieke portal applicatie wordt de gebruiker uit het certitifcaat niet in de sql database gevonden. Nu zou het mooi zijn als men kon uitloggen in plaats van de knop binnen IE: "Clear SSL State" of alle windows dicht en opnieuw proberen.

Het inloggen zelf verloopt via ons identity portal, alwaar de Page.User.Identity in saml claims naar de uiteindelijke applicatie (portal) wordt gepost. Het identity platform zitten meerdere authenticatiemiddelen aan vast gekoppeld, waaronder dus X509. Als men dus uitlogt (via een federated logout) wordt de client naar het identity gedeelte geredirect met een signout parameter en is hij uitgelogt. Nu is een submap van dit portal met X509 afgeschermd en deze logt dus niet uit. Men komt nu netjes terug op het authenticatiemiddel keuze scherm, maar als er vervolgens op X509 wordt geklikt, is de oude keuze nog actief.

@Janoz: Wij hebben er ook al over nagedacht om het certificaat gelijk te trekken bij alle portals, maar dat is om een bepaalde reden niet goed mogelijk, vandaar dat ik richting deze oplossing aan het zoeken was.

Is er geen javascript methode die iets kan doen? Ik heb daar al iets op gevonden, maar dat werkt alleen op IE:

@RobIII: De Realm of ook wel wtrealm parameter genoemd bepaald de locatie waar de STS (Security token service) de SAML token naar toe POST. Wij werken met 1 IDp (Identity provider) en meerdere saas applicaties. De Realm zal afhankelijk zijn van de applicatie die men probeerde te bereiken.

Het ziet er als volgt uit:

- De smart client gaat naar applicatie A
- Applicatie A staat heeft een passive trust met de IDp en zal deze volgens de instellingen redirecten naar de IDp: http://www.idp.nl/?wa=wsi...f%2fwww.applicatieA.nl%2f ....
- De gebruiker krijgt een keuze scherm met authenticatiemiddelen en kiest voor X509
- Binnen www.idp.nl/x509/ wordt het certificaat gevraagd en gevalideerd (deze submap staat op client cert required)
- Als de X509 klopt dan zal de www.idp.nl een token genereren om deze vervolgens door de browser naar de Realm (www.applicatieA.nl) te POSTEN
- Als de aspecten kloppen van het token zal er een sessie worden opgezet.

Nu gaat het mij om www.idp.nl/x509/ waar de cert keuze actief blijft. Als de klant naar www.applicatieB.nl gaat zal dit ook via dezelfde IDp verlopen, echter is nu de keuze van het certificaat van de vorige login nog actief, waardoor hij niet weer met het keuze scherm komt, maar op basus van de oude keuze door gaat. (nu is de identiteit uit het vorige certificaat niet geldig in applicatieB)