是否可以将ADFS设置为短暂(约8个小时)超时,以用于基于Web的登录的刷新令牌和对于移动应用程序的长期令牌?他们正在使用OpenID Connect,并且由于内部政策的原因,不会延长基于浏览器的登录的令牌生存期,并且认为所有令牌只有一种设置。
请注意,我不是从事ADFS工作的人,因此我无法添加更多细节,因为我不了解并且无法访问它,我只是想能够回到外部机构并告诉他们正确的方向
答案 0 :(得分:1)
AD-FS将刷新令牌生存时间定义为等于SSO生存时间。 Single sign on behavior文档中对此进行了突出显示,
中进一步突出显示如果刷新令牌在内,则请求将产生一个新的访问令牌。
在OAuth方案中,刷新令牌用于在特定应用程序范围内维护用户的SSO状态。
与其他身份提供者不同,AD-FS似乎没有提供一种专门为应用程序定义刷新令牌生存期的方法。
但是它定义了两组设备。已注册的设备和未注册的设备。如果考虑到这一点,并且将移动设备视为未注册的设备,则可以控制SSO行为。您可以完全禁用SSO行为(无刷新令牌)。或者,您可以通过EnableKmsi功能(从refer from here到EnableKmsi进行配置来启用它),并启用有效期为24小时的刷新令牌。