我正在开发SaaS产品,并且我们正在使用IdentityServer 3进行身份验证。 为了支持外部身份提供者的单点登录,我们将SAML2p与Sustainsys Saml2 Owin中间件一起使用,因此IdentityServer是SP。
但是,在使用外部IDP登录后,我们希望定期或至少在给定时间后验证外部身份。 假设您已使用Active Directory联合身份验证服务(ADFS)登录,则已通过身份验证并且正在使用该软件。然后有人确定您不再是组织中的有效用户(被解雇),并在其AD中禁用您的用户。 如果没有经过IDP / ADFS的验证,您仍然可以继续使用该软件多长时间? IdentityServer会话为60分钟,但当然会滑动。它会永远滑动吗?有没有办法配置它?
Idsrv中有一些方法可以进行一些检查,例如IAuthenticationSessionValidator。建议有人呼叫userinfo端点,但并非所有IDP都符合OpenID Connect或具有此类端点。 我想要一些通用的东西,我们不控制外部提供者。我们还计划支持WS-Fed和OpenID Connect。
我找到了这个问题,但实际上并没有我要的答案: SSO : Should SP validate session with IDP in every request
如果有一种方法可以配置一个间隔或规则以重定向到外部IDP以验证会话,那将是很好的?重定向每个请求似乎太多了。 (我什至不知道该怎么做)