我有一个使用openidConnect从ADFS 2016进行身份验证的应用程序。 一旦获得ADFS令牌形式的文件,便在应用程序中创建本地cookie会话。
问题 禁用ADFS服务器或用户上的用户更改权限后,我的应用程序如何触发用户注销。 ADFS是否提供任何端点或api来检查?
答案 0 :(得分:1)
从AD FS获得的访问令牌具有一定的生存期(可在AD FS端配置)。默认值为一小时。您可以阅读有关AD FS令牌生存期here的更多信息。
使用AD FS,您完全没有在AD中禁用用户时从应用程序中直接注销用户的“内置到协议中”的方式,但是您可以为应用程序中的Cookie设置过期时间,因此Cookie过期后,应用程序将根据您的需要和架构尝试获取新的访问令牌或刷新现有令牌。
选项1 :获取新的访问令牌
如果用户被禁用,则他将无法获得新的访问令牌,也将无法登录到您的应用程序。如果在您的应用程序中的本地cookie到期时用户仍处于活动状态,则AD FS登录过程对他而言将是无缝的。即他甚至都不会看到AD FS登录页面,并且会立即使用新的访问令牌重定向回到您的应用程序。
选项2 :刷新现有访问令牌
仅当您在应用程序中保留AD FS访问令牌时,此选项才可用。您可以在AD FS服务器上使用某个终结点来尝试刷新该访问令牌。如果使用禁用,则他将无法刷新令牌,并且您可以注销。您可以阅读有关如何使用AD FS here刷新访问令牌和其他方案的更多信息。