用例
为了最大限度地减少用户执行 Sing On 的需要,我想尽可能长时间地运行活动会话。
用户执行SSO,SP允许用户访问IDP所指示的时间-会话(或帐户)不再活动。
SP将需要询问IDP-该用户的会话是否处于活动状态?
我的问题
以上可行吗?如果可以,实现SP询问特定用户的会话(帐户)活动IDP的最佳实践是什么?
我想,成功的初始身份验证后,SAML响应正文将保存一个会话令牌,可以针对用户进行存储。相同的会话令牌可用于查询IDP,以了解会话(帐户)是否仍处于活动状态。但是那会是什么服务?
非常感谢任何指导。
答案 0 :(得分:0)
SAML规范中没有可用于查询帐户状态的内容。
您可以做的是在SAML请求上使用isPassive标志,以查看用户的IDP上是否正在进行SSO会话。您可以要求IDP修改其行为并返回帐户状态,但这是标准之外的一对一协议。
另一种方法是将反向通道调用与SCIM之类的协议一起使用,请参见:https://tools.ietf.org/html/rfc7644#section-3.4.1,这将允许您通过REST调用查询用户帐户的状态。但这当然是与SAML不同的协议,并且IDP必须支持某些协议。