Принудительно введите учетные данные с помощью ws-федерации и Azure AD

Question

Я использую ws-федерацию с Azure AD в своем веб-приложении. Все работает, за исключением того, что я хотел бы, чтобы мои пользователи выходили из системы через 30 минут бездействия.

Im использованием cookieauthentication:

app.UseCookieAuthentication(new CookieAuthenticationOptions 
{ 
    AuthenticationType = DefaultAuthenticationTypes.ExternalCookie, 
    SlidingExpiration = true, 
    ExpireTimeSpan = new TimeSpan(0, 30, 0), 

}); 

И мой wsfederation:

app.UseWsFederationAuthentication(
    new WsFederationAuthenticationOptions 
    { 
     Wtrealm = _appSettings.Realm, 
     MetadataAddress = _appSettings.Metadata, 
     AuthenticationMode = AuthenticationMode.Passive, 
     SignInAsAuthenticationType = DefaultAuthenticationTypes.ExternalCookie, 
     UseTokenLifetime = false, 
    }); 

Пользователь регистрируется из веб-приложения через 30 минут. Но когда они нажимают URL-адрес для входа и перенаправляются на Azure AD, они все еще регистрируются и автоматически присоединяются к моему приложению.

Я хочу, чтобы пользователи повторно вводили свои учетные данные, прежде чем снова войти в систему. Есть ли способ достичь этого?

С уважением

Answer 1

Вы можете изменить срок службы билета Azure AD SSO. По умолчанию это 480 минут. Просто установите это значение в 30, и пользователи должны будут повторно аутентифицироваться.

Редактировать: Возможно, вы можете установить пользователя Force для ввода учетных данных на Azure AD, так как это поддерживается на прем ADFS, это могло бы быть в AAD, тоже.

Если вы не хотите менять глобальные TTL-билеты на SSO, вы также можете отправить пользователя в конечную точку выхода Azure AD, если истечет срок вашего локального TTL (но этого может избежать пользователь, если он захочет к - поэтому вы должны придерживаться варианта 1).