会话管理

### 会话管理
要查看 MaxId 中活动客户端和会话的顶级视图，请从菜单中单击会话管理。

会话管理

![](/media/202309/2023-09-19_143958_007063.jpeg)

### 注销所有活动会话
您可以注销领域中的所有用户。从操作列表中，选择注销所有活动会话。所有 SSO cookie 均无效。MaxId 通过使用 MaxId OIDC 客户端适配器通知客户端注销事件。在活动浏览器会话中请求身份验证的客户端必须再次登录。SAML 等客户端类型不会收到反向通道注销请求。

### 查看客户端会话
步骤：

1. 单击菜单中的“客户端” 。
  2. 单击会话选项卡。
  3. 单击某个客户端即可查看该客户端的会话。

客户会话

![](/media/202309/2023-09-19_144213_064273.jpeg)

### 查看用户会话
步骤：

1. 单击菜单中的用户。
  2. 单击会话选项卡。
  3. 单击用户可查看该用户的会话。

用户会话

![](/media/202309/2023-09-19_144355_026353.jpeg)

### 撤销活动会话
如果您的系统受到威胁，您可以撤销所有活动会话和访问令牌。

步骤：

1. 单击菜单中的会话。
  2. 从操作列表中，选择注销所有活动会话。
    撤销

![](/media/202309/2023-09-19_144505_857943.jpeg)
  3. 指定一个时间和日期，使用此控制台在该时间和日期之前发出的会话或令牌无效。
     - 单击“设置为现在”将策略设置为当前时间和日期。
     - 单击“推送”将此吊销策略推送到使用 MaxId OIDC 客户端适配器注册的任何OIDC 客户端。

### 会话和令牌超时
MaxId 包括通过领域设置菜单中的“会话”和“令牌”选项卡来控制会话、cookie 和令牌超时。

会话选项卡

![](/media/202309/2023-09-19_144813_420911.jpeg)

| 配置          | 描述                                                                                                                      |
|-------------|-------------------------------------------------------------------------------------------------------------------------|
| SSO 会话空闲    | 此设置仅适用于 OIDC 客户端。如果用户处于非活动状态的时间超过此超时，则用户会话将失效。当客户端请求身份验证或发送刷新令牌请求时，此超时值将重置。MaxId 在会话失效生效之前为空闲超时添加了一个时间窗口。请参阅本节后面的注释。 |
| SSO 最大会话数   | 用户会话过期之前的最长时间。                                                                                                          |
| SSO 会话空闲记住我 | 此设置类似于标准 SSO 会话空闲配置，但特定于启用“记住我”的登录。用户在登录时单击“记住我”时可以指定更长的会话空闲超时。此设置是可选配置，如果其值不大于零，则它使用与 SSO 会话空闲配置相同的空闲超时。               |
| SSO 会话最大记住我 | 此设置类似于标准 SSO 会话最大值，但特定于“记住我”登录。用户在登录时单击“记住我”时可以指定更长的会话。此设置是可选配置，如果其值不大于零，则它使用与 SSO 会话最大配置相同的会话生命周期。                     |
| 客户端会话空闲     | 如果用户处于非活动状态的时间超过此超时，则刷新令牌请求会增加空闲超时。此设置指定刷新令牌的空闲超时比会话空闲超时更短，但用户可以为各个客户端覆盖它。此设置是可选配置，当设置为零时，将在 SSO 会话空闲配置中使用相同的空闲超时。      |
| 最大客户端会话数    | 刷新令牌过期并失效之前的最长时间。此设置指定的刷新令牌超时比会话超时更短，但用户可以为各个客户端覆盖它。此设置是可选配置，当设置为零时，将在 SSO 会话最大配置中使用相同的空闲超时。                            |
| 离线会话空闲      | 此设置用于离线访问。在 MaxId 撤销其脱机令牌之前会话保持空闲的时间。MaxId 在会话失效生效之前为空闲超时添加了一个时间窗口。请参阅本节后面的 注释。                                   |
| 离线会话最大限制    | 此设置用于离线访问。如果此标志为ON，则 Offline Session Max 可以控制脱机令牌保持活动的最长时间，而不管用户活动如何。客户端离线会话空闲和客户端离线会话最大已启用。                            |
| 最大离线会话数     | 这个设置是针对离线访问的，是MaxId撤销对应离线token的最长时间。此选项控制离线令牌保持活动状态的最长时间，无论用户活动如何。                                                   |
| 登录超时        | 登录必须花费的总时间。如果身份验证花费的时间超过此时间，则用户必须重新启动身份验证过程。                                                                            |
| 登录操作超时      | 用户在身份验证过程中可以在任何一页上花费的最长时间。                                                                                              |

令牌选项卡

![](/media/202309/2023-09-20_165301_435926.jpeg)

| 配置           | 描述                                                                   |
|--------------|----------------------------------------------------------------------|
| 默认签名算法       | 用于为领域分配令牌的默认算法。                                                      |
| 撤销刷新令牌       | 当无法工作时，MaxId 会撤销刷新令牌并颁发客户端必须使用的另一个令牌。此操作适用于执行刷新令牌流的 OIDC 客户端。  |
| 访问令牌的有效期     | 当 MaxId 创建 OIDC 访问令牌时，该值控制令牌的生命周期。                                |
| 隐式流的访问令牌生命周期 | 对于隐式流程，MaxId 不提供刷新令牌。隐式流创建的访问令牌存在单独的超时。                           |
| 客户端登录超时      | 客户端必须在 OIDC 中完成授权代码流程之前的最长时间。                                        |
| 用户发起的操作的生命周期 | 用户操作权限到期之前的最长时间。保持该值较短，因为用户通常会对自行创建的操作做出快速反应。                        |
| 默认管理员启动的操作寿命 | 管理员发送给用户的操作权限到期之前的最长时间。保留此值较长，以便管理员可以向离线用户发送电子邮件。管理员可以在颁发令牌之前覆盖默认超时。 |
| 电子邮件验证       | 指定电子邮件验证的独立超时。                                                       |
| IdP 帐户电子邮件验证 | 指定 IdP 帐户电子邮件验证的独立超时。                                                |
| 忘记密码         | 指定忘记密码的独立超时。                                                         |
| 执行动作         | 指定执行操作的独立超时。                                                         |