我们正在使用PingFederate实施网络SSO解决方案,第三方产品包含开箱即用的SAML2。
但是,如果用户仍在积极使用SP,我们会尝试解决如何停止IDP会话超时的问题。
第三方产品支持在IDP端请求空资源,意图是此URL将导致IDP会话被扩展。
我无法在PingFederate中看到支持此类内容的任何内容。有谁知道这一般是如何解决的?有没有办法扩展PingFederate会话,例如API调用,到端点的HTTP POST,无论什么?
或者SP是否需要构建新的身份验证请求?如果是这样,是否会导致新的SAML响应/令牌发布新的NotOnOrAfter日期?
答案 0 :(得分:1)
不幸的是,这不是SAML 2.0涵盖的用例,任何符合SAML 2.0规范的解决方案都可能是针对单个产品定制的。此外,除了为SSO执行另一次往返之外,无法让SP在PingFed(IDP)上扩展会话。
通常,客户通过使IDP上的会话寿命较长来处理此问题,以便在SP之间切换时不会提示用户再次登录。
如果您同时控制IDP和SP,那么我建议您将PingAccess与PingFederate结合使用。您仍然可以通过PingFed联接到应用程序,但PingAccess将允许您跨应用程序管理会话。