Session 通过询问IDP确认活动会话

用例

为了尽量减少用户执行Sing On的需要，我希望尽可能长时间地运行活动会话

用户执行SSO，SP允许用户访问，直到IDP显示会话（或帐户）不再活动为止

SP需要询问IDP-此用户的会话是否处于活动状态

我的问题

上述情况是否可能？如果可能，为特定用户实施SP询问会话（帐户）活动IDP的最佳实践是什么

正如我想象的，在成功的初始身份验证之后，SAML响应主体将持有一个会话令牌，该令牌可以针对用户进行存储。相同的会话令牌可用于查询IDP，以了解会话（帐户）是否仍处于活动状态。但是那是什么服务呢

---

非常感谢您的指导

SAML规范中没有可用于查询帐户状态的内容

您可以在SAML请求上使用

isPassive

标志，查看用户的IDP上是否有正在进行的SSO会话。您可以要求IDP修改其行为并返回帐户状态，但这将是标准之外的一对一协议

---

另一种方法是使用类似SCIM的协议的反向通道调用，请参见：，该协议允许您通过REST调用查询用户帐户的状态。当然，这是一个不同于SAML的协议，必须得到IDP的支持。

谢谢，@hans-z。我怀疑SAML规范中没有允许这种情况。如果你有时间的话，我想听听你对iPassive的看法。或者，我想知道如果isPassive是从SP发送的，与没有isPassive标志相比，IDP会产生什么类型的响应？