根据文档和文章,RP 的 TokenLifetime 属性是:
- 设置为 0 时为 60 分钟(这是默认值)
- 分钟数(最多 480 分钟),其中 1 表示 1 分钟,2 表示 2 分钟,依此类推
我相当确定 SAMLResponse 元素中的 NotBefore / NotOnOrAfter 属性应该具有与 TokenLifetime 相等的时间差。
在使用利用 HTTP 重定向/Post 绑定方法的 Web 浏览器 SSO 配置文件进行一些测试之后,我注意到以下内容与我的 TokenLifetime 属性定义不一致:
- 0 = 60 分钟(好的)
- > 0 是小时(不是分钟),所以 1 = 60 分钟,2 = 120 分钟,...(坏的)
是否有其他属性或设置会影响 NotBefore / NotOnOrAfter 属性的时间差?我的断言不正确吗?
最终我需要 NotBefore / NotOnOrAfter 属性中的时间差为 3-4 分钟。
谢谢!
更新:我使用 ADFS 3.0 进行了测试,它按照我预期的方式工作(即 TokenLifetime 1 = 1 分钟...)因此 2.0 仍然是个谜!