Мы реализуем решение для единого входа в систему с использованием PingFederate с сторонним продуктом, который включает SAML2 из коробки.Продолжить сеанс PingFederate IDP с SP
Однако мы пытаемся решить вопрос о том, как остановить тайм-аут сеанса IDP, если пользователь все еще активно использует SP.
Сторонний продукт поддерживает запрос пустого ресурса на стороне IDP с намерением, чтобы этот URL-адрес привел к расширению сеанса IDP.
Я ничего не вижу в PingFederate, который поддерживает что-либо подобное. Кто-нибудь знает, как это вообще разрешено? Есть ли способ продлить сеанс PingFederate, например. Вызов API, HTTP POST до конечной точки, что?
Или SP нуждается в конструировании нового запроса на аутентификацию? Если да, то это приводит к тому, что новый ответ/токен SAML выдается с новой датой NotOnOrAfter
?
Зачем вам нужно поддерживать сеанс IdP? Сеанс SP должен быть полностью автономным. –
Мы делаем это, чтобы включить единый вход. Вы переходите к одному приложению, получаете запрос на вход в систему, какое-то время используете это приложение, а затем переходите к другому приложению, в которое вы легко входите. Если вы не поддерживаете сеанс IDP, даже если вы активно использовали первый SP, вам будет предложено снова войти в систему при переходе на второй SP, если срок действия IDP истек. – ChrisC
Просто используйте асинхронный аутентификационный адаптер, например IWA, если это то, что вам нужно ... То, что вы пытаетесь сделать здесь, не поддерживается SAML ... Это поддерживается традиционным WAM, например, как отметил Ян, PingAccess , Я полагаю, вы могли бы использовать OAuth или OIDC. –