我有一个具有以下身份验证方案的ASP站点:
user goes to site - /site
if not authenticated - /idp/login
user logs in - /site
我在站点前面有一个身份提供程序,该身份提供程序可处理多个租户的身份验证,并在登录成功后将cookie过期并递回。
我感到困惑的是身份提供商站点(asp)在web.config中具有其表单身份验证设置,超时时间为10分钟。
然后,在前端站点(同样是asp)中,web.config中还有另一个表单身份验证标签,可以说有1分钟的超时时间。
当我进入网站并闲置5分钟时,它不会注销我。 如果我闲置15分钟,则超时。因此似乎正在使用身份提供者超时。
在身份验证过程中,cookie被从IDP传递到站点,并且web.config的超时被添加到cookie的过期时间,但是我试图用站点的web.config的表单身份验证来覆盖它超时值,虽然似乎对任何事情都没有用。
tldr
在多租户环境中,一个身份提供商对多个站点进行身份验证,我如何仍可以让每个站点决定登录的超时时间而不依赖于IDP?