brockallen のブログで説明されているように、セッション認証モジュール (SAM) と Thinktecture IdentityModel を使用して WIF でスライディング セッションを使用する場合。発行されて Cookie に書き込まれたセッション セキュリティ トークンは、必要に応じて「有効」に拡張され、それに応じて Cookie が設定されます。
ただし、現在のクレーム ID にシリアル化された BootStrapToken は古いもののままであり、トークンが期限切れになる可能性があります。これにより、さまざまな理由でブートストラップ コンテキスト トークンを使用しようとすると問題が発生します (その中には、「貧乏人」の委任の実装が含まれる可能性があります)。
新しく発行されたトークンでブートストラップ トークンを更新する最良の方法は何ですか?
Microsoft の Active Directory フェデレーション サービス (AD FS) を使用している場合は、AD FS 証明書利用者トークンのタイムアウトを調整または増加して、WIF ブートストラップ トークンの有効期間を延ばすことができます。
たとえば、新しいセッション トークンを取得するという問題がありましたが、AD FS Web SSO タイムアウトの前にまだタイムアウトがありました。開発者の 1 人が、Windows Identity Foundation (WIF) のブートストラップ トークンに関連する証明書利用者トークンの有効期間を延長する設定があることを発見しました。
設定は以下です。
Set-ADFSRelyingPartyTrust -TargetName YourTargetName -TokenLifetime 480
証明書利用者トークンのタイムアウトを Web SSO トークンのタイムアウトと同じに設定すると、うまくいきました。
注: 現在の証明書利用者トークンのタイムアウトは、次のコマンドで確認できます。
Get-ADFSRelyingPartyTrust -Name YourTargetName
注 II: Web SSO トークンのタイムアウトを確認するには、AD FS 管理ツールを開き、左側のナビゲーション ペインで [AD FS] をクリックし、右側のペインの [アクション] ペインで [フェデレーション サービス プロパティの編集...] をクリックします。
新しい「ブートストラップ」トークンを取得する唯一の方法は、実際の発行者に往復することです。