AzureAD 是否支持 SAML 响应中"AuthnStatement"部分的SessionNotOnOrAfter属性? 如果不是,我们是否可以将"条件"部分的NotBefore和NotOnOrAfter属性视为有效的会话时间窗口(会话长度(?
截至目前,AzureAD 不支持 SessionNotOnOrAfter 属性,并且不允许配置从 SAML 响应派生的会话生存期。"NotOnOrAfter"属性不应用于控制会话生存期,因为它具有完全不同的含义和目的。请参阅 SubjectConfirmationData and Conditions 中的 NotOnOrAfter 和 SessionNotOnOrAfter。
是的,NotBefore和NotOnOrAfter属性指定断言有效的时间间隔。
<Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
<AudienceRestriction>
<Audience>https://www.contoso.com</Audience>
</AudienceRestriction>
</Conditions>
NotBefore属性的值等于或略晚于Assertion元素IssueInstant属性的值。Azure AD 不考虑自身与云服务(服务提供商(之间的任何时间差,也不会向此时间添加任何缓冲区。NotOnOrAfter属性的值比NotBefore属性的值晚 70 分钟。
参考:单点登录 SAML 协议