Asp.net ADFS 2.0超时以及新鲜度值、TokenLifetime和WebSolifetime参数之间的关系
我很想知道ADFS 2.0超时场景中Freshness值、TokenLifetime和WebSolifetime参数之间的关系。我已经对此进行了一些分析,但还没有得到一个清晰的图像。我通过几个来源收集了以下关于w.r.t ADFS超时的详细信息 ADFS配置中涉及两个主要超时:Asp.net ADFS 2.0超时以及新鲜度值、TokenLifetime和WebSolifetime参数之间的关系,asp.net,.net,wif,claims-based-identity,adfs2.0,Asp.net,.net,Wif,Claims Based Identity,Adfs2.0,我很想知道ADFS 2.0超时场景中Freshness值、TokenLifetime和WebSolifetime参数之间的关系。我已经对此进行了一些分析,但还没有得到一个清晰的图像。我通过几个来源收集了以下关于w.r.t ADFS超时的详细信息 ADFS配置中涉及两个主要超时: WebSolifetime–服务器范围超时参数–默认值=480分钟 TokenLifetime–这是为每个依赖方配置的–默认值=10小时 websolifetime: 这是一个服务器范围的设置,适用于所有RP(依赖方)。
“Add-PSSnapin Microsoft.Adfs.Powershell”
•使用以下命令获取应用程序的配置详细信息:
Get-ADFSRelyingPartyTrust-Name“你的应用程序在ADFS依赖方信任中显示名称”
•使用以下命令将ADFS设置中的TokenLifeTime值更改为所需值:
设置ADFSRelyingPartyTrust-Targetname“您的应用程序在ADFS依赖方信任中的显示名称”-TokenLifetime“以分钟为单位的值”
这将使RP令牌在指定的时间段后失效
使用上述设置,为了提示用户重新进行身份验证,我们要求WebSolifetime低于令牌生存期
想象一个场景,其中不同的RP具有不同的重新身份验证超时要求–例如,当其他RP的服务器级WebSoliFeTime设置为50分钟时,RP希望it用户在10分钟后(TokenLifetime设置为10)重新身份验证。在这种情况下,用户将不会重定向到ADFS身份验证页面。相反,用户将在没有任何身份验证的情况下创建一个新会话。这是因为尽管RP级别的令牌已过期,WebSO令牌仍然有效
新鲜度值:
为了摆脱这个循环,我们可以使用一个名为Freshness Value(OASIS-)的设置。当包含在web.config的federatedAuthentication部分时,此参数(设置为freshness=“0”)将提示IDP根据WCT参数中的当前时间检查令牌的新鲜度值
新鲜度值的绿洲描述–wfresh:
此可选参数表示新鲜度要求。如果指定,则表示以分钟为单位指定的所需身份验证最长期限。IP/STS不应发出具有更长生存期的令牌。如果指定为“0”它表示请求IP/STS在发出令牌之前重新提示用户进行身份验证。”
影响超时的其他因素:
<席>我们还需要考虑以下因素:在不使用ADFS代理服务器的地方,通过ISA或TMG反向代理发布ADF,通常称为不知道反向代理的声明。
MSISSignOut跟踪ADFS(在此会话中)发出的所有令牌,因此注销请求可以使ADFS已验证的所有依赖方会话无效,而不仅仅是注销发起请求的应用程序。这就是所谓的单点注销或单点注销。但是,ISA/TMG在设计时没有考虑SAML声明,因此在启动超时/注销过程时,它们无法正确响应
当我们面对以下任何一种情况时,反向代理令牌的生存期就会出现:
•用户与请求的web应用程序的会话已过期,他们需要使用ADFS重新验证,或
•如上所述,已启动注销
在反向代理会话的生存期内,用户可以重新向ADFS进行身份验证,而无需提示用户输入凭据,因为代理会在会话期间将已收集的凭据传递给ADFS
这实际上与ADF没有任何关系。这是反向代理上会话的配置方式。这是限制此侦听器的反向代理会话生存期的重要原因。
因此,即使ADFS会话超时,使用活动的反向代理会话,也可以重新对ADFS进行身份验证。有关TMG–ADFS设置的更多详细信息,请阅读博客文章
我保留这个问题,以获得更多关于这个主题的信息。+1关于如何设置WebSolifetime的说明将完成以下操作:设置已达到