单点登录- PingFederate -什么会导致会话过期？

Question

1)首先，我知道用户系统和PingFederate (PF)之间的时钟需要在5分钟以内。PF在SAML中发送我的时间是PF正在使用的时间吗？另外，我可以设置时钟之间的差异吗？

2)第二，我目前正在登录PingFederate，但接下来是一个没完没了的PingFederate循环，说我已经登录了，然后我的Rails应用程序使用Devise再次询问PingFederate是否已登录。我检查了是否正在为该用户设置会话。是否有什么东西会导致会话过期？

Answer 1

1. 在PingFederate (和所有其他产品)中发送断言的所有时间都是由SAML-核心 (Pg )定义的UTC。9，第310行，第1.3.3节)标准。您的"SP“端点/应用程序在计算时间差时应该使用相同的方法，以便符合SAML。
2. 正如我在评论中所说的，这绝对是一个Rails问题。断言没有“过期”--您的应用程序只是没有创建经过身份验证的会话。SAML没有提供用户身份验证有效期的长度。