【问题标题】:MS ADFS -ssolifetime for refresh tokenMS ADFS -ssolifetime 用于刷新令牌
【发布时间】:2020-05-14 22:47:34
【问题描述】:

AD-FS 将刷新令牌生命周期定义为等于 SSO 生命周期。如果我们将刷新令牌替换为我们在访问令牌调用中获得的新获取的刷新令牌,那么新的刷新令牌生命周期将是多少。

例如:如果我的 ssolifetime 是 720 分钟(8 小时),并且在 6 小时后我拨打电话以获取新的访问令牌,这也将返回一个新的刷新令牌。这个新的刷新令牌的 ssolifetime 是多少。是 2 小时(因为 6 小时已经过去)还是以滑动方式工作,并且这个新获得的刷新令牌的新生命周期将从第 6 小时开始再延长 8 小时。

【问题讨论】:

    标签: azure-active-directory dynamics-crm microsoft-dynamics adfs adfs2.0


    【解决方案1】:

    如果我理解正确,在 ADFS 中,如果您是未注册的设备,并且您在登录时未使用 Keep me signed in 选项,则刷新令牌 = 到 sso,默认情况下为 8 小时。 我理解的方式是在这种情况下您不会获得新的刷新令牌。因此,如果您在 8 个刷新令牌到期之前更新令牌,我认为您的访问令牌可以再使用 8 小时,但您的刷新令牌不再有效,所以下次您尝试获取新令牌时它会失败。

    https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/ad-fs-single-sign-on-settings#enable-psso-for-office-365-users-to-access-sharepoint-online

    还有持久 SSO,用于经过身份验证的设备,并让我登录以用于未经身份验证的设备,它们的行为都不同。但没有迹象表明没有“keepmesignedin”的未经身份验证的设备会在 adfs 中获得新的刷新令牌。

    会话 SSO cookie 是为经过身份验证的用户编写的,这消除了用户在特定会话期间切换应用程序时的进一步提示。但是,如果特定会话结束,系统将再次提示用户输入他们的凭据。

    禁用 KMSI 后,默认单点登录时间为 8 小时。这个 可以使用属性 SsoLifetime 进行配置。该物业是 以分钟为单位,因此其默认值为 480。

    我希望这会有所帮助。

    【讨论】:

    • 有点不,我的问题仍然在这里得到解答,我在获取访问令牌时收到的新刷新令牌的目的是什么。这个新的刷新令牌过期计时器是否从零开始?
    • 如果您使用的是未经身份验证/未注册的设备,当您请求新的访问令牌时,您不应获得新的刷新令牌。
    猜你喜欢
    • 2017-06-24
    • 2018-12-11
    • 1970-01-01
    • 2017-07-01
    • 1970-01-01
    • 2018-10-20
    • 2019-06-29
    • 2022-10-31
    • 2021-08-20
    相关资源
    最近更新 更多