我们有一个网站,我们的用户通过从ADFS获取STS访问网站。 ADFS通过检查Active Directory中用户的组成员身份来发布声明。该网站使用WIF访问声明并处理认证。从AD公司撤销索赔/令牌,通过ADFS到RP
当用户的AD数据发生变化(例如,他们已删除所有组成员资格)时,是否有办法让这些更改立即反映(至少从用户的PoV开始是同一会话)?目前,如果我们撤销AD中的会员资格,那么该用户对RP(当前会话)的声明不受影响。他们拥有与撤销前相同的声明和访问权限,直到用户的ADFS会话过期(可能需要几个小时)。
例如用户U1通过ADFS登录我们的网站W1,浏览一下,然后在AD中取消他的成员资格。我们需要在短时间(分钟)内自动从W1注销U1。如果没有注销,将WIF中的声明集重置为反映其现在为空的AD组成员资格也是可以接受的。
这可能吗?我能找到的所有文件似乎都假设网站本身(W1)知道用户何时应该终止会话 - 在我们的案例中,W1不知道会话到期(或者至少声明修改)的“触发器”将会来自AD。
谢谢;我怀疑是这样的... – MarkH 2012-08-14 15:02:41