用例
为了最大限度地减少用户执行Sing On的需要,我希望尽可能长时间地运行活动会话。
用户执行SSO和SP允许用户访问,直到IDP说 - 会话(或帐户)不再处于活动状态。
SP需要询问IDP - 该用户的会话是否有效?
我的问题
以上是否可行,如果是这样,实施SP向特定用户询问会话(帐户)活动的IDP的最佳做法是什么?
正如我想象的那样,在成功进行初始身份验证后,SAML Response主体将保存一个可以针对用户存储的会话令牌。可以使用相同的会话令牌来查询IDP,以了解会话(帐户)是否仍处于活动状态。但是那将是什么服务?
任何指导非常感谢。
SAML规范中没有任何内容可用于查询帐户状态。
你可以做的是在SAML请求上使用isPassive标志来查看用户的IDP上是否有正在进行的SSO会话。您可以要求IDP修改其行为并返回帐户状态,但这将是标准之外的一对一协议。
另一种方法是使用带有SCIM等协议的反向通道调用,请参阅:https://tools.ietf.org/html/rfc7644#section-3.4.1,它允许您使用REST调用查询用户帐户的状态。但当然这是一个与SAML不同的协议,而且必须得到IDP的支持。