У нас есть веб-сайт, к которому наши пользователи получают доступ, получая STS от ADFS. ADFS выдает утверждения, проверяя членство пользователя в группах в Active Directory. Веб-сайт использует WIF для доступа к утверждениям и аутентификации.
Есть ли способ, когда данные AD пользователя изменяются (например, у него удалено все членство в группах), чтобы эти изменения немедленно отражались (в том же сеансе, по крайней мере, из точки зрения пользователя) в их заявках на RP? В настоящее время, если мы отменяем членство в AD, заявки этого пользователя на RP (в его текущем сеансе) не затрагиваются. У них те же утверждения и доступ, что и до отзыва, до истечения срока действия сеанса ADFS пользователя (до которого могут пройти несколько часов).
например пользователь U1 входит на наш веб-сайт W1 через ADFS, немного просматривает его, а затем его членство в AD отменяется. Нам нужно, чтобы U1 автоматически вышел из W1 в течение короткого периода времени (минут). Если они не вышли из системы, сброс их набора утверждений в WIF, чтобы отразить их теперь пустое членство в группе AD, также будет приемлемым.
Это возможно? Вся документация, которую я могу найти, предполагает, что сам веб-сайт (W1) знает, когда пользователь должен завершить сеанс - в нашем случае W1 не знает, что «триггер» для истечения срока действия сеанса (или, по крайней мере, утверждает поправку) будет быть из нашей эры.