1)首先,我知道用户系统和PingFederate(PF)之间的时钟需要在5分钟之内。在PF使用的时间PF是否在SAML中发送给我?我也可以设置时钟之间的差异吗?
2)其次,我目前正在登录PingFederate,但接着是一个无休止的PingFederate循环说我已登录,然后我的Rails应用程序使用Devise再次询问PingFederate如果我已登录。我检查了一个会话正在为该用户设置。是否有可能导致会话过期的内容?
答案 0 :(得分:1)
所有在PingFederate(以及所有其他产品)中发送断言的时间都是UTC,由SAML-Core(第9页,第310行,第1.3.3节)标准定义。在计算时差时,您的“SP”端点/应用程序应使用相同的内容,以符合SAML。
正如我在评论中所述,这绝对是一个Rails问题。断言不是“过期” - 您的应用程序只是没有创建经过身份验证的会话。 SAML不提供用户身份验证有效期的长度。