【问题标题】:Confirm active-session by asking IDP通过询问 IDP 确认活动会话
【发布时间】:2019-02-07 02:08:55
【问题描述】:

用例

为了尽量减少用户执行Sing On的需要,我希望尽可能长时间地运行活动会话。

用户执行 SSO,SP 允许用户访问,直到 IDP 说 - 会话(或帐户)不再处于活动状态。

SP 需要询问 IDP - 该用户的会话是否处于活动状态?

我的问题

上述是否可行?如果可以,实施 SP 询问特定用户的会话(帐户)活动的 IDP 的最佳做法是什么?

正如我想象的那样,在成功进行初始身份验证后,SAML 响应正文将持有一个会话令牌,可以针对用户进行存储。相同的会话令牌可用于查询 IDP 以了解会话(帐户)是否仍处于活动状态。但是那会是什么服务呢?

非常感谢任何指导。

【问题讨论】:

    标签: session saml-2.0 adfs


    【解决方案1】:

    SAML 规范中没有任何内容可用于查询帐户状态。

    您可以在 SAML 请求中使用 isPassive 标志来查看用户的 IDP 是否存在正在进行的 SSO 会话。您可以要求 IDP 修改其行为并返回帐户状态,但这将是标准之外的一对一协议。

    另一种方法是使用带有 SCIM 等协议的反向通道调用,请参阅:https://www.rfc-editor.org/rfc/rfc7644#section-3.4.1,这将允许您通过 REST 调用查询用户帐户的状态。但当然,这是与 SAML 不同的协议,并且必须得到 IDP 的支持。

    【讨论】:

    • 谢谢,@hans-z。我怀疑 SAML 规范中没有任何内容允许这样做。如果你有时间,我想为你挑选关于 isPassive 的大脑。 chat.stackoverflow.com/rooms/179235/saml-ispassive 或者,我很想知道如果从 SP 发送 isPassive 与没有 isPassvie 标志相比,IDP 会产生什么类型的响应?
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-11-28
    • 1970-01-01
    • 1970-01-01
    • 2018-12-11
    • 2021-02-22
    • 2022-12-14
    相关资源
    最近更新 更多