問題說明
在使用 Microsoft 365、Google Workspace 等與 Access Control 串接的連線的服務(以下簡稱 SP)時,Access Control 的登入畫面(驗證畫面)會反覆顯示,經常要求驗證。請說明如何設定以延長登入狀態的保留時間,減少驗證次數,以及應確認的重點。
解答
當 Access Control 或 SP 的工作階段持續時間設定較短,或因瀏覽器安全性設定導致登入資訊被刪除時,會經常被要求重新驗證。
若要降低登入頻率,請確認以下設定。
[Cookie 保留時間]的設定
當從 Access Control 驗證畫面成功登入時,可設定在登入的瀏覽器上保留登入狀態的期間。
如此一來,即使 SP 再次向 Access Control 發送驗證要求,只要瀏覽器上仍保有 Access Control 的登入狀態,即可略過登入操作。
- 請於 Access Control 管理介面的[存取原則群組]設定畫面中,選擇任一存取原則群組,並將 [ Cookie 保留時間 ] 設定為所需的數值。
[Access Control] 建立 / 編輯存取原則群組 - 將[網域設定]-[記住這次登入的顯示]設為[查看]。
[Access Control] 登入畫面設定 - 使用者登入時,於驗證畫面勾選「記住這次登入」,即可在步驟 1 設定的期間內,於瀏覽器中保留 Cookie(除非使用者自行登出)。
※若未勾選,則無論設定為何,關閉瀏覽器後將會登出。
[工作階段持續時間 (小時數)]的設定
設定與 Access Control 進行單一登入(SAML 串接)的 SP,在登入後再次要求驗證前的時間。
※此設定值的實際運作依各 SP 而定。
參考:SP 端的工作階段設定
- 於 Access Control 管理介面中開啟[設定連線的服務]。
- 於對應 SP 的設定中,將[工作階段持續時間 (小時數)]設為所需的數值。
SP 端的工作階段設定
部分 SP 會優先採用自身設定的工作階段有效期限,而不參考 Access Control 設定的「工作階段持續時間」。
若已設定「工作階段持續時間」但仍經常出現驗證要求,請確認 SP 端的工作階段保留期間設定。
例如,Microsoft / Google 官方針對工作階段保留期間有以下說明文章:
※ SP 端的行為及工作階段管理規則,可能因各雲端服務的規格變更而有所調整。
請確認所用瀏覽器的設定
即使已於 Access Control 或 SP 端完成設定,若使用者的瀏覽器設定會刪除登入資訊,也可能導致此問題。
若僅特定的使用者經常被要求登入,請確認下列項目:
- 關閉瀏覽器時,是否設定自動刪除 Cookie
- 是否以不儲存記錄的模式(如無痕模式或 InPrivate 視窗)進行存取
- 是否啟用了封鎖第三方 Cookie 的設定
參考資料
[Access Control] 想了解連線的服務的「工作階段持續時間」與「Cookie 保留時間」的關係
[Access Control] 為什麼存取連線的服務時不會要求驗證?