【问题标题】:Different refresh token lengths with ADFSADFS 的不同刷新令牌长度
【发布时间】:2018-12-11 03:03:20
【问题描述】:

是否可以将 ADFS 设置为针对基于 Web 的登录的刷新令牌和针对移动应用的长期令牌的短暂(约 8 小时)超时?他们正在使用 OpenID Connect,并且由于内部政策,不会延长基于浏览器登录的令牌生命周期,并且认为所有令牌只有一个设置。

注意,我不是做 ADFS 工作的人,所以我无法添加太多细节,因为我不了解它并且无法访问它,我只想能够回到外部机构并告诉他们正确的方向

【问题讨论】:

    标签: openid-connect adfs


    【解决方案1】:

    AD-FS 将刷新令牌生命周期定义为等于 SSO 生命周期。这在Single sign on behavior 文档中突出显示,

    如果刷新令牌在 内,则请求将产生一个新的访问令牌。

    并在SSO setting document 中进一步突出显示

    在 OAuth 场景中,刷新令牌用于在特定应用程序范围内维护用户的 SSO 状态。

    与其他身份提供程序不同,AD-FS 似乎没有提供专门为应用程序定义刷新令牌生命周期的方法。

    但它定义了两组设备。已注册设备和未注册设备。如果您考虑到这一点并将移动设备视为未注册设备,那么您就有能力控制 SSO 行为。您可以完全禁用 SSO 行为(无刷新令牌)。或者您可以通过EnableKmsi 功能启用它(refer from hereEnableKmsi 用于配置)并启用 24 小时有效的刷新令牌。

    【讨论】:

    • 24 小时对于移动应用程序来说是不够的,如果它们处于活跃状态,它们应该一次保持登录数月。如果未注册的设备获得更长的刷新令牌时间,这可能也会影响 Web 浏览器登录,他们不会允许这样做。
    猜你喜欢
    • 2017-06-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-02-17
    • 2017-07-01
    • 2022-12-31
    • 2018-03-02
    • 1970-01-01
    相关资源
    最近更新 更多