Различные длины токенов обновления с ADFS

Question

Можно ли настроить ADFS на кратковременный (~ 8 часов) тайм-аут для обновления токенов для веб-входа и долгосрочных токенов для мобильных приложений? Они используют OpenID Connect и из-за внутренней политики не будут продлевать время жизни токенов для входа в систему на основе браузера и считают, что для всех токенов существует только один параметр.

обратите внимание, я не тот, кто выполняет работу ADFS, поэтому я не смогу добавить слишком много подробностей, поскольку я не понимаю этого и не имею к нему доступа, я просто хочу иметь возможность вернуться к внешнему агентству и сказать, чтобы направить их в правильном направлении

Answer 1

AD-FS определяет время жизни токена обновления равным времени жизни единого входа. Это выделено в Единый знак поведения * Документация 1002 *,

Если токен обновления находится внутри, запрос приведет к новому токену доступа.

И далее выделено в Документ настройки SSO

В сценарии OAuth токен обновления используется для поддержания состояния единого входа пользователя в рамках определенного приложения.

В отличие от других поставщиков удостоверений, кажется, AD-FS не предоставляет способ определения времени жизни маркера обновления специально для приложения.

Но он определяет два набора устройств. Зарегистрированные устройства и незарегистрированные устройства. Если вы считаете, что мобильные устройства являются незарегистрированными, то у вас есть возможность контролировать поведение единого входа. Вы можете полностью отключить поведение единого входа (без обновления токена). Или вы можете включить его с помощью функции EnableKmsi ( см. Здесь от до EnableKmsi для конфигураций) и включить токен обновления, действительный в течение 24 часов.