के बीच संबंध और मुझे ADFS 2.0 टाइम आउट परिदृश्य में फ्रेशनेस वैल्यू, टोकन लाइफटाइम और वेबसॉल्फिटाइम पैरामीटर के बीच संबंध जानने में दिलचस्पी है। मेरे पास पहले से ही did इस पर मेरा विश्लेषण है और मुझे अभी तक एक स्पष्ट तस्वीर नहीं मिली है।एडीएफएस 2.0 समय और फ्रेशनेस वैल्यू, टोकन लाइफटाइम और वेबसॉलीफटाइम पैरामीटर
मैंने कई स्रोतों के माध्यम से नीचे दिए गए विवरण w.r.t ADFS टाइमआउट एकत्र किए हैं।
वहाँ दो प्रमुख समय समाप्ति ADFS विन्यास में शामिल हैं:
WebSSOLifetime:
यह एक सर्वर चौड़ी सेटिंग है जो सभी आरपी (निर्भर पार्टी) पर लागू होती है। जब भी कोई उपयोगकर्ता किसी दिए गए आरपी के लिए टोकन पूछता है तो उसे पहले एडीएफएस सेवा को प्रमाणित करना होगा। एडीएफएस सेवा के साथ संवाद करने पर उन्हें दो टोकन मिलेगा, एक टोकन जो साबित करता है कि वह कौन है (चलिए इसे एडीएफएस टोकन कहते हैं) और आरपी के लिए टोकन (चलिए आरपी टोकन कहते हैं)। अब वेबएसएसओलिटाइम टाइमआउट निर्धारित करता है कि नए आरपी टोकन को फिर से प्रमाणीकृत किए बिना अनुरोध करने के लिए एडीएफएस टोकन का कितना समय उपयोग किया जा सकता है। दूसरे शब्दों में, उपयोगकर्ता इस आरपी के लिए या अन्य आरपी के लिए नए टोकन पूछ सकता है, और उसे यह साबित नहीं करना होगा कि वह तब तक नहीं है जब तक कि वेबसॉल्फटाइम एडीएफएस टोकन की अवधि समाप्त नहीं कर लेता है।
TokenLifetime:
यह एक विशेष आरपी पर लागू होता है जो एक आरपी स्तर सेटिंग है। यह एडीएफएस सर्वर में कॉन्फ़िगर अन्य आरपी को प्रभावित नहीं करेगा। जब भी कोई उपयोगकर्ता आरपी टोकन प्राप्त करता है, तो यह कुछ समय समाप्त हो जाएगा। उस समय उपयोगकर्ता को फिर से एडीएफएस सर्वर पर जाना होगा और एक नया आरपी टोकन का अनुरोध करना होगा। एडीएफएस टोकन अभी भी मान्य है या नहीं, इस पर निर्भर करता है कि उसे फिर से प्रमाणीकरण नहीं करना पड़ेगा।
टोकन लाइफटाइम को कम करने का एक तर्क यह हो सकता है कि आप दावों को तेज़ी से अपडेट करना चाहते हैं। डिफॉल्ट के साथ जब भी कुछ विशेषता स्टोर जानकारी संशोधित की जाती है, तो यह परिवर्तन उपयोगकर्ता के दावों में उपयोगकर्ता तक पहुंचने से 10 घंटे पहले संभावित रूप से ले सकता है।हम नीचे प्रक्रिया का उपयोग शेल स्क्रिप्ट के माध्यम से TokenLifetime सेट कर सकते हैं:
• व्यवस्थापक मोड में PowerShell प्रारंभ करें और आदेश देना
“Add-PSSnapin Microsoft.Adfs.Powershell”
• आदेश का उपयोग कर आवेदन के विन्यास जानकारी प्राप्त करें:
Get-ADFSRelyingPartyTrust -नाम "ADFS में अपने ऐप्लिकेशन के प्रदर्शन नाम पार्टी विश्वास भरोसा"
: 10 • नीचे दिए गए आदेश का उपयोग आवश्यक मूल्य करने के लिए ADFS सेटिंग्स में TokenLifeTime मान बदलेंसेट ADFSRelyingPartyTrust -Targetname "ADFS में अपने ऐप्लिकेशन के प्रदर्शन नाम पार्टी विश्वास भरोसा" -TokenLifetime "मिनट में मूल्य"
यह निर्दिष्ट अवधि के बाद आरपी टोकन को अमान्य कर देगा।
उपरोक्त सेटिंग्स के साथ, उपयोगकर्ता को फिर से प्रमाणीकृत करने के लिए संकेत देने के लिए, हमें वेबसॉलीफटाइम को टोकन लाइफटाइम से कम होना आवश्यक है।
एक परिदृश्य में जहाँ विभिन्न आर.पी. अलग फिर से प्रमाणीकरण टाइमआउट आवश्यकताओं है कल्पना कीजिए - कहो एक आरपी यह उन 10 मिनट (TokenLifetime 10 के लिए सेट) जब अन्य आर.पी. के लिए सर्वर स्तर WebSSOLifetime की तैयारी में हैं के बाद पुन: प्रमाणीकृत करना चाहता है 50 मिनट इस उदाहरण में, उपयोगकर्ता को ADFS प्रमाणीकरण पृष्ठ पर रीडायरेक्ट नहीं किया जाएगा। इसके बजाए, उपयोगकर्ता को बिना किसी प्रमाणीकरण के एक नया सत्र बनाया जाएगा। ऐसा इसलिए है क्योंकि वेबएसएसओ टोकन अभी भी वैध है हालांकि RP स्तर टोकन समाप्त हो गया है।
ताजगी मूल्य:
आदेश में इस पाश से बाहर आने के लिए, हम एक सेटिंग ताजगी मूल्य (- wfresh ओएसिस) नामक उपयोग कर सकते हैं। यह पैरामीटर (ताजगी = "0" के रूप में सेट) जब आपके web.config के संघीय प्रमाणीकरण अनुभाग में शामिल किया गया है, तो आईडीटीपी को डब्लूसीटी पैरामीटर में वर्तमान समय के आधार पर टोकन के ताजगी मूल्य की जांच करने के लिए संकेत मिलेगा। ताजगी मूल्य के लिए
ओएसिस विवरण - wfresh:
"यह वैकल्पिक पैरामीटर ताजगी आवश्यकताओं इंगित करता है। यदि निर्दिष्ट है, तो यह मिनटों में निर्दिष्ट प्रमाणीकरण की वांछित अधिकतम आयु इंगित करता है। एक आईपी/एसटीएस लंबे जीवनकाल के साथ एक टोकन जारी नहीं करना चाहिए। तो के रूप में निर्दिष्ट "0" यह आईपी के लिए एक अनुरोध/एसटीएस इंगित करता है टोकन जारी करने से पहले प्रमाणीकरण के लिए उपयोगकर्ता को फिर से संकेत करने के लिए "
अन्य कारक समय समाप्त प्रभाव यही कारण है कि:।
हम भी जरूरत है एडीएफएस या टीएमजी रिवर्स प्रॉक्सी के माध्यम से एडीएफएस प्रकाशित करते समय नीचे दिए गए कारकों पर विचार करने के लिए जहां एडीएफएस प्रॉक्सी सर्वर का उपयोग नहीं किया जाता है - आम तौर पर दावाों को अनजान रिवर्स प्रॉक्सी के रूप में बुलाया जाता है।
MSISSignOut टोकन कि (इस सत्र में) ADFS द्वारा जारी किए गए हैं ताकि के सभी पटरियों एक अनुरोध साइन आउट सिर्फ आवेदन जहां अनुरोध शुरू किया गया था से प्रस्थान करने से, सभी निर्भर पार्टी सत्र कि ADFS प्रमाणीकृत है अमान्य कर सकते हैं बल्कि । यह सिंगल साइन आउट या एकल लॉगआउट के रूप में जाना जाता है। हालांकि, आईएसए/टीएमजी को एसएएमएल दावों के साथ दिमाग में डिजाइन नहीं किया गया है, इसलिए टाइमआउट/साइन आउट प्रक्रिया शुरू होने पर वे उचित प्रतिक्रिया नहीं दे सकते हैं।
दावा-अनजान रिवर्स प्रॉक्सी टोकन जब हम नीचे परिदृश्य में से किसी एक का सामना जीवनकाल चित्र में आता है:
• एक उपयोगकर्ता के सत्र का अनुरोध वेब अनुप्रयोग के साथ समाप्त हो गया है और वे ADFS के साथ पुन: प्रमाणीकृत करने की जरूरत है, या
• उपरोक्त वर्णित अनुसार साइन आउट शुरू किया गया है।
रिवर्स प्रॉक्सी के सत्र के जीवनकाल के भीतर एक उपयोगकर्ता क्रेडेंशियल डालने को कहा जा रहा है बिना ADFS को फिर से प्रमाणित कर सकते हैं, के बाद से प्रॉक्सी सत्र की अवधि के लिए ADFS करने पर पहले से ही एकत्र साख गुजरता है।
यह वास्तव में एडीएफएस के साथ कुछ भी करने के लिए नहीं है। इस प्रकार रिवर्स प्रॉक्सी पर सत्र कॉन्फ़िगर किया गया है। इस श्रोता के लिए रिवर्स प्रॉक्सी सत्र जीवनकाल को प्रतिबंधित करने का यह एक मजबूत कारण है। इसलिए यदि एडीएफएस सत्र का समय समाप्त हो गया है, तो सक्रिय रिवर्स प्रॉक्सी सत्र के साथ एडीएफएस को फिर से प्रमाणित करना संभव है। टीएमजी - एडीएफएस सेटअप के बारे में अधिक जानकारी के लिए, this ब्लॉग पोस्ट पढ़ें।
मैं इस विषय पर अधिक जानकारी प्राप्त करने के लिए इस प्रश्न को खोल रहा हूं।
वेबसॉलीफटाइम सेट करने के तरीके पर एक नोट +1 यह पूरा करेगा: यह सेटिंग स्क्रीन पर जाकर एडीएफएस 2.0 प्रबंधन कंसोल के माध्यम से पहुंची है जहां आप सेवा गुणों को संपादित करते हैं। (बाईं ओर पेड़ में "सेवा" नोड का चयन करें, फिर दाईं ओर, "सेवा गुण संपादित करें" का चयन करें) – Tombala
बहुत विस्तृत उत्तर! आपका बहुत बहुत धन्यवाद! –