...
Een verkeerd ingestelde AccessTokenLifetime zal onduidelijke foutmeldingen geven. Een fout 404 of Authentication Instant is too old or in the future zijn hier voorbeelden van. Ook zal de SURFconext OIDC Gateway een foutmelding geven als een gebruiker op jouw IdP na 12 dagen een jaar niet een nieuwe sessie heeft opgestart en opnieuw is aangemeld. Diensten kunnen controleren wanneer een gebruiker voor het laatst is aangemeld op de IdP door te kijken naar het ' saml:AuthnStatement ' die ze ontvangen. Als de dienst deze tijd niet accepteert gaat het aanmelden fout met vaak onduidelijke meldingen tot gevolg. Zie hiervoor de saml:AuthnStatement AuthnInstant of SessionNotOnOrAfter in de SAML post en controleer de eisen van de dienst. Maak een een SAML trace om te zien hoe oud het AuthnStatement is als je tegen fouten aanloopt.
De default waarde van 1 uur uur in Azure zal doorgaans goed zijn in gebruik werken met SURFconext. Om het gebruikersgemak van SURFconext tot zijn recht te laten komen kun je een werkdag aanhouden; 8 uur of 12 uur. De daaropvolgende werkdag zal de gebruiker weer een prompt krijgen aan te melden. Zie voor meer informatie over de support pagina van Microsoft over token lifetimes in Azure Active Directory.