我有一个使用openidConnect从ADFS 2016认证的应用程序。一旦我得到令牌的形式ADFS我在我的应用程序创建本地的Cookie会话。
问题当ADFS服务器或用户在用户更改权限被禁用,我的应用程序如何触发注销用户。 ADFS提供任何端点或API来检查?
访问令牌你从AD FS具有一定的生命周期(可配置的AD FS侧)。默认值是一个小时。你可以阅读更多关于AD FS令牌生存here。
随着AD FS你没有任何“内置到协议”的方式来注销从您的应用程序的用户恰好在当你在公元禁用它的时候,但你可以设置过期时间在应用程序中的cookie,所以当饼干到期时,应用程序会去尝试得到一个新的访问令牌或者根据您的需求和arhitecture刷新现有的令牌。
选项1:获取新的访问令牌
如果用户被禁用,他将无法获得新的访问令牌,将无法登录到您的应用程序。如果用户仍然活跃的时候在你的应用程序在本地的cookie到期时,AD FS登录过程将是无缝他。即他甚至不会看到AD FS登录页面,将令牌就可以重新回到您的应用程序与新的访问。
选项2:刷新现有的访问令牌
当您在应用程序坚持AD FS访问令牌,此选项才可用。您可以在AD FS服务器使用特定端点尝试刷新访问令牌。如果使用的是禁止他将无法刷新令牌,您可以进行注销。你可以阅读更多关于如何刷新访问令牌和其他一些场景与AD FS here。