关于单点登录:会话在 SAML 中存储在哪里?

Where does session stored in SAML?

它是基于浏览器还是基于 IdP?

我正在查看他们的官方文档,我找不到有关会话管理的任何详细信息。在 SAML 中是否有人知道或会话?

技术文档:https://www.oasis-open.org/committees/download.php/11511/sstc-saml-tech-overview-2.0-draft-03.pdf

执行文件:http://www.oasis-open.org/committees/download.php/11785/sstc-saml-exec-overview-2.0-draft-06.pdf


SAML 本身没有"会话管理"。会话是身份提供者 (IdP) 和服务提供者 (SP) 各自的职责。有一些键值对可以指导双方的会话创建(例如 SessionNotOnOrAfterNotOnOrAfter),但很少看到它们以这种方式使用。

最常见的是,您会发现 SP 在其管理面板中提供了一个控件,该控件允许 IdP 的业务部门使用 SaaS 提供商根据其业务需求设置空闲超时和最大超时等内容。在 IdP 方面,他们也会根据自己的内部安全要求对其进行管理。