問題
在 Access Control 中設定「工作階段狀態有效時間」或「Cookie 保留時間」時,這些設定會對外部服務連結(以下簡稱 SP)之間的驗證產生什麼影響?請說明它們之間的關係。
回答
前提說明,Microsoft 365 / Google Workspace 等 SP 與 Access Control 進行 SSO 設定時,雙方的關係如下圖所示,SP 會根據需要呼叫 Access Control。
關於工作階段狀態有效時間
此項目可於連線的服務設定中進行設定。
針對已啟用單一登入(SAML 串接)的 SP,可設定使用者在被要求重新驗證前的時間。
設定此項目後,驗證成功後,瀏覽器或應用程式會保留以所設定時間為有效期限的工作階段資訊。
當瀏覽器或應用程式中保有工作階段資訊(工作階段有效)時,如下圖所示,使用者可直接存取服務,無需經過 Access Control 的驗證處理或登入條件判斷。
※ 根據不同 SP,可能不會參照 Access Control 所設定的「工作階段狀態有效時間」,而是優先採用 SP 端所設定的工作階段有效期限。
※ 若瀏覽器設定為自動刪除 Cookie,即使 Access Control 或 SP 端已設定工作階段有效期限,瀏覽器中儲存的工作階段資訊仍會被刪除,因此可能需要重新驗證。
關於 Cookie 保留時間
此項目可於存取原則群組中進行設定。
當使用者在 HENNGE 驗證畫面勾選「記住這次登入」並成功登入時,於所設定的有效期限內,該瀏覽器上會保留 Access Control 的登入狀態。
※ 登入資訊會以瀏覽器為單位儲存。若從其他裝置或不同瀏覽器存取,仍需如常輸入 ID 及密碼。
當 Access Control 的登入狀態被保留時,即使 SP 端向 IdP 發出驗證要求,如下圖所示,使用者也能略過 Access Control 驗證畫面的登入操作(如輸入 ID、密碼等),順利存取各項服務。
即使登入操作被略過,仍會依據存取原則進行存取控制,並記錄於存取記錄中。
※ 若要在登入畫面顯示「記住這次登入」選項,需事先於管理介面的[網域設定]-[登入狀態保持的顯示]中設定為[查看]。
※ 驗證 Cookie 為以瀏覽器運作為前提的功能,於瀏覽器以外的應用程式(如 Office Apps 等)可能無法正常運作。
※ 若瀏覽器設定為自動刪除 Cookie,即使本功能啟用,仍會每次要求登入。
參考
[Access Control] 為什麼在外部服務連結中經常被要求重複登入(頻繁要求驗證)
[Access Control] 為什麼在存取外部服務連結時不會被要求驗證?