我正在开发 SaaS 产品,我们正在使用 IdentityServer 3 进行身份验证。为了支持外部身份提供者的单点登录,我们将 SAML2p 与 Sustainsys Saml2 Owin 中间件一起使用,因此 IdentityServer 就是 SP。
但是,在使用外部 IDP 登录后,我们希望定期验证外部身份,或者至少在给定时间后验证。假设您已使用 Active Directory 联合身份验证服务 (ADFS) 登录,您已通过身份验证,并且正在使用该软件。然后有人决定您不再是组织中的有效用户(被解雇),并在他们的 AD 中禁用您的用户。在没有经过 IDP/ADFS 验证的情况下,您还能继续使用该软件多长时间?IdentityServer 会话是 60 分钟,但当然是滑动的。会永远滑下去吗?有没有办法配置这个?
在 Idsrv 中有一些方法,我们可以在其中进行一些检查,例如在 IAuthenticationSessionValidator 中。有人建议调用 userinfo 端点,但并非所有 IDP 都符合 OpenID Connect 或具有此类端点。我想要一些通用的东西,我们不控制外部提供者。我们还计划支持 WS-Fed 和 OpenID Connect。
我找到了这个问题,但它并没有真正找到我正在寻找的答案: SSO:SP 是否应在每个请求中验证与 IDP 的会话
如果有一种方法可以配置间隔或规则以重定向到外部 IDP 以验证会话,那就太好了?对每个请求进行重定向似乎太多了。(我什至不知道该怎么做)