我们有一个网站,我们的用户通过从ADFS获得STS来访问该网站。ADFS通过检查Active Directory中用户的组成员身份来发布声明。该网站使用WIF访问索赔并处理身份验证。
当用户的AD数据发生变化时(例如,他们删除了所有组成员资格),有没有办法让这些变化立即反映在他们对RP的声明中(至少从用户的PoV中反映出相同的会话)?目前,如果我们撤销AD中的成员资格,该用户对RP(在其当前会话中)的声明不会受到影响。他们拥有与撤销前相同的声明和访问权限,直到用户的ADFS会话到期(可能需要数小时)。
例如,用户U1通过ADFS登录我们的网站W1,浏览一段时间,然后在AD中取消其会员资格。我们需要U1在短时间(分钟)内自动注销W1。如果没有注销,也可以将他们在WIF中的索赔集重置为反映他们现在为空的AD组成员身份。
这可能吗?我能找到的所有文档似乎都假设网站本身(W1)知道用户何时应该终止会话-在我们的情况下,W1不知道,会话到期(或至少索赔修改)的"触发器"将来自AD。
开箱即用-无
声明不是动态的,它们只是在登录时创建的。
我唯一能想到的就是你的应用程序。要不时轮询AD,如果成员资格被删除,则"在后台"执行应用程序注销。
下次用户尝试做某事时,WIF将看到他们没有会话,将转到ADFS登录,ADFS将看到他们仍在登录,并且将自动授予访问权限,即整个过程将是透明的。
由于使用已再次登录,因此声明将更新,成员资格将不再是声明。