我正在尝试使用WSO IS 5.1.0配置会话超时 我有一个服务提供商,其会话时间为10分钟 我在WSO2中将SSO sesison timeot配置为10分钟,在 Resident Identity Provider 部分使用Managment console。
我不知道为什么,但全局配置(<IS_HOME>/repository/conf/identity/identity.xml file under the <TimeConfig> element)不起作用。
在本地会话超时后,用户被重定向到SSO登录页面,因此全局会话似乎无效。但是,如果您在浏览器中再次键入应用程序URL,则会将用户重定向到登录页面,自动重新进行身份验证,并重定向到上次访问的页面。 为什么第一次用户进入SSO登录页面,之后 - 不是? 预期的行为是在全局会话到期后不应重新验证用户。
所以,情景是:
- 用户进入服务提供商的主页并被重定向到SSO登录页面
- 用户登录SSO登录页面
- 一段时间后SSO会议到期;
- 服务提供商的会话也将过期
- 用户进入某个服务提供商的页面,并被重定向到SSO登录页面(此时似乎以某种方式重新创建了SSO会话)
- 用户再次尝试转到服务提供商的页面,他被神奇地重新认证(因为会话被重新创建)。
如果你至少评论这个流程我会很感激,我现在确定我是否理解它是如何工作的
答案 0 :(得分:1)
我使用WSO2 IS 5.1.0版本测试了相同的内容,并且您注意到的问题存在。在进行过程中,我注意到这也是由于IDENTITY-4537在时间戳计算逻辑上发现的问题引起的。这已在即将发布的版本WSO2 IS 5.2.0中得到修复
答案 1 :(得分:-1)
<IS_HOME>/repository/conf/identity/identity.xml文件中的会话超时全局配置可从管理控制台覆盖。
从管理控制台配置会话超时后,该会话超时将应用于已登录的租户并优先于全局配置。
因此,在新的IS 5.1.0包中,如果您已使用&#39; admin&#39; 用户登录管理控制台,并且已配置&#39 ; &#39; Resident Identity Provider&#39; 的空闲会话超时&#39; 您已将会话时间更改为超级租户,该超级租户被标识为&#39; carbon.super&#39;
因此,当此租户中配置的服务提供商参与此租户的用户的经过身份验证的会话时,会话超时将是您刚刚配置的值。
理想情况下,这意味着,在IS 5.1.0中,我们无法根据服务提供商为身份提供商配置会话时间。它只能根据租户进行更改。 此外,管理控制台中&#39; Resident Identity Provider&#39; 配置的&n>会话超时&#39> 表示会话超时为最终用户创建的经过身份验证的会话,通过某种身份验证协议(SAML,OpenID,OpenIDConnect等)对服务提供者应用程序进行身份验证。这与管理控制台登录会话不同。
我不太清楚你正在使用的两个术语,&#39;本地会话超时&#39;和&#39;全局会话超时&#39; 。但希望我上面的解释可以帮到你。
有关如何在WSO2 IS 5.1.0中管理SSO会话的更多信息,请参阅[1]。
[1] http://malithiedirisinghe.blogspot.com/2016/01/how-to-manage-authenticated-session-in.html