0

ユーザーが ADFS から STS を取得してアクセスする Web サイトがあります。ADFS は、Active Directory 内のユーザーのグループ メンバーシップを確認することによってクレームを発行します。Web サイトは、WIF を使用してクレームにアクセスし、認証を処理します。

ユーザーの AD データが変更された場合 (たとえば、すべてのグループ メンバーシップが削除された場合)、それらの変更を RP のクレームにすぐに (同じセッション、少なくともユーザーの PoV から) 反映させる方法はありますか? 現在、AD のメンバーシップを取り消しても、(現在のセッションでの) RP に対するそのユーザーの要求は影響を受けません。ユーザーの ADFS セッションが期限切れになるまで (数時間かかる場合もあります)、失効前と同じクレームとアクセス権を保持します。

たとえば、ユーザー U1 が ADFS 経由で Web サイト W1 にログインし、少し閲覧した後、AD でメンバーシップをキャンセルします。短時間 (分) 以内に U1 を W1 から自動的にログアウトする必要があります。ログアウトしていない場合は、WIF のクレームセットをリセットして、空になった AD グループ メンバーシップを反映させることも許容されます。

これは可能ですか?私が見つけることができるすべてのドキュメントは、Web サイト自体 (W1) がユーザーのセッションをいつ終了する必要があるかを知っていると想定しているようです。 AD出身です。

4

1 に答える 1

1

箱から出して - いいえ。

クレームは動的ではありません。ログオン時にのみ作成されます。

私が考えることができる唯一の方法は、あなたのアプリです。AD を時々ポーリングし、メンバーシップが削除された場合は、「内部で」アプリケーションのログアウトを行います。

次にユーザーが何かをしようとすると、WIF はユーザーがセッションを持っていないことを認識し、ADFS にアクセスしてログインします。ADFS はユーザーがまだログインしていることを認識し、アクセスが自動的に許可されます。つまり、プロセス全体がトランスペアレント。

使用が再度ログインされたため、クレームが更新され、メンバーシップはクレームではなくなります。

于 2012-07-29T18:55:22.470 に答える