<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<div>I believe in ADFS 3 there is no .asp file to edit because it does not use IIS. Microsoft support engineers have told our ADFS admins that there is no way to customize the logout flow in ADFS. We can customize some JS and I think configure a custom logout
 URL. <br>
<br>
<div>-------- Original message --------</div>
<div>From: Rhian Resnick </div>
<div>Date:05/04/2015 5:30 PM (GMT-05:00) </div>
<div>To: Shib Users </div>
<div>Subject: Re: Logout of O365/Shib/CAS </div>
<div><br>
</div>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">I can confirm this is our experience. Our experience.<br>
<br>
User in Outlook.com clicks logout.<br>
Browser directs to /logout.aspx<br>
Logout.aspx sends logout to Shibboleth<br>
Shibboleth logout may fail. If it does the user may be redirected (and authenticated) back in to outlook.com<br>
<br>
We love this feature so much. <br>
<br>
Rhian Resnick<br>
Assistant Director Middleware and HPC<br>
Office of Information Technology​<br>
<br>
​Florida Atlantic University<br>
777 Glades Road, CM22, Rm 218<br>
Boca Raton, FL 33431<br>
Phone 561.297.2647<br>
Fax 561.297.0222<br>
 ​ ​<br>
<br>
________________________________________<br>
From: users <users-bounces@shibboleth.net> on behalf of Cantor, Scott <cantor.2@osu.edu><br>
Sent: Monday, May 04, 2015 5:26 PM<br>
To: Shib Users<br>
Subject: Re: Logout of O365/Shib/CAS<br>
<br>
On 5/4/15, 4:49 PM, "Benjamin Cherian" <benjamin.cherian@villanova.edu> wrote:<br>
<br>
>Currently when we try to logout of office dev, it returns an error, because it is trying to use Shibboleth's logout URL, which returns an error, because. At that point the end user is not logged out of CAS or O365. We can try to redirect to the CAS logout
 page, but that doesn't log them out of the O365 portal.<br>
><br>
>What is the correct way to logout of CAS and logout of ADFS/O365? Is there a JSP or other code I should edit to sent them to CAS? Is there a way to specify in the SAML response that it is not an error?<br>
<br>
You'd want to catch the logout at the SP end before it attempts a SAML Logout to the IdP (which one of the responders suggested might be possible). If it gets to the IdP, all other things aside, the IdP will end up responding to ADFS without a failure status
 since the SAML portion failed, and one of the nasty bugs in ADFS is that it doesn't perform the logout on its end before sending the LogoutRequest to the IdP, only after. That's very dumb, since any failure at the other end will leave the user signed into
 the ADFS end, needlessly.<br>
<br>
I wasn't aware of that until a vendor actually forced me to accomodate a SAML Logout for their broken app, and I realized that short of a perfect response to ADFS, it wasn't completing the logout. Even sending the PartialLogout substatus, which is the most
 likely true result of any logout request, was enough to leave the user signed in. Very bad.<br>
<br>
-- Scott<br>
<br>
--<br>
To unsubscribe from this list send an email to users-unsubscribe@shibboleth.net<br>
-- <br>
To unsubscribe from this list send an email to users-unsubscribe@shibboleth.net</div>
</span></font>
</body>
</html>