ユーザーがログアウトしたときにWindows Identity FoundationのSecurityTokenServiceにロジックを実装する必要はありますか？

Question

WIF's STSから派生した私自身のSecurityTokenServiceを実装しています。 Cancelメソッドを強制的に実装する必要がありますか？

デフォルトではWindows Identity Foundation's SecurityTokenServiceは、this articleに記載されているように、コールごとにインスタンス化されます。明示的に何かをキャッシュしていない場合（または同様のことを行う場合）、キャンセルメソッドを実装することによって対応すべき事項がありますか？ STSまたはWIFは、ユーザーがログアウトするときに処理する必要のあるバックグラウンドで処理を実行しますか（Cancelメソッドが呼び出されます）？例えば、。私がトークンをキャッシュしていたならば、ユーザーがログアウトすると、そのトークンをCancelメソッドのキャッシュから削除する必要があります。

Answer 1

これは実装によって異なります。 STSがValidateメソッドを実装していない場合は、キャンセルを実装する必要はありません。

Validateの目的は、有効期限ウィンドウ内のトークンが（おそらくキャンセルを介して）取り消されたかどうかを受信者がSTSに確認できることです。

FWIWでは、AD FSがキャンセルと検証をサポートしていないと思います。実際のアーキテクチャではほとんど使用されていません。

ユーザーがAD FSでログアウトすると、AD FSサーバーとのセッションが取り消されることに注意してください。ただし、AD FSが発行したトークンは依然として依拠当事者によって受け入れられます。