通过询问IDP确认活动会话

问题描述 投票:0回答:1

用例

为了最大限度地减少用户执行Sing On的需要,我希望尽可能长时间地运行活动会话。

用户执行SSO和SP允许用户访问,直到IDP说 - 会话(或帐户)不再处于活动状态。

SP需要询问IDP - 该用户的会话是否有效?

我的问题

以上是否可行,如果是这样,实施SP向特定用户询问会话(帐户)活动的IDP的最佳做法是什么?

正如我想象的那样,在成功进行初始身份验证后,SAML Response主体将保存一个可以针对用户存储的会话令牌。可以使用相同的会话令牌来查询IDP,以了解会话(帐户)是否仍处于活动状态。但是那将是什么服务?

任何指导非常感谢。

session saml-2.0 adfs
1个回答
0
投票

SAML规范中没有任何内容可用于查询帐户状态。

你可以做的是在SAML请求上使用isPassive标志来查看用户的IDP上是否有正在进行的SSO会话。您可以要求IDP修改其行为并返回帐户状态,但这将是标准之外的一对一协议。

另一种方法是使用带有SCIM等协议的反向通道调用,请参阅:https://tools.ietf.org/html/rfc7644#section-3.4.1,它允许您使用REST调用查询用户帐户的状态。但当然这是一个与SAML不同的协议,而且必须得到IDP的支持。

© www.soinside.com 2019 - 2024. All rights reserved.