强制用户使用ws-federation和Azure AD重新输入凭据。

Question

在我的web应用程序中，我使用带有Azure AD的ws联邦。除了我希望我的用户在30分钟的不活动后被注销之外，一切都在工作。

我正在使用炊事认证：

app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    AuthenticationType = DefaultAuthenticationTypes.ExternalCookie,
    SlidingExpiration = true,
    ExpireTimeSpan = new TimeSpan(0, 30, 0),

}); 

我的联合会：

app.UseWsFederationAuthentication(
    new WsFederationAuthenticationOptions
    {
        Wtrealm = _appSettings.Realm,
        MetadataAddress = _appSettings.Metadata,
        AuthenticationMode = AuthenticationMode.Passive,
        SignInAsAuthenticationType = DefaultAuthenticationTypes.ExternalCookie,
        UseTokenLifetime = false,
    });

30分钟后，用户将退出web应用程序。但是，当他们单击登录url并被重定向到Azure AD时，他们仍然会登录并再次自动登录到我的应用程序。

我希望用户在再次登录之前重新输入他们的凭据。有办法做到这一点吗？

问候

Answer 1

您可以更改Azure AD票证的生存期。我想默认是480分钟。只要设置为30，用户将不得不重新认证。

编辑：您可能可以将强制用户设置为在Azure上输入凭据，因为这在on中是支持的，所以它也可能在AAD中。

如果不想更改SSO票证的全局TTL，也可以在本地TTL过期时将用户发送到Azure AD的注销端点(但用户可以避免这种情况，如果用户愿意的话--因此您应该坚持选项1)。