问用于刷新令牌的MS ADFS -ssolifetime

EN

如果我正确理解，在ADFS中，如果您是一个未注册的设备，并且在登录时不使用“让我签名”选项，那么Refresh令牌= to sso，默认为8小时。据我所知，在这种情况下，您不会获得新的刷新令牌。因此，如果您在8刷新令牌到期之前更新您的令牌，我认为您的访问令牌在8小时内是好的，但是您的刷新令牌不再好了，所以下次尝试获取新令牌时，它将失败。

https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/operations/ad-fs-single-sign-on-settings#enable-psso-for-office-365-users-to-access-sharepoint-online

还有持久的SSO，用于经过身份验证的设备，并让我登录未经身份验证的设备，它们的行为都不同。但是，没有迹象表明未经身份验证的设备在adfs中将获得新的刷新令牌。

会话SSO是为经过身份验证的用户编写的，这消除了用户在特定会话期间切换应用程序时的进一步提示。但是，如果某个特定会话结束，将再次提示用户输入他们的凭据。

禁用KMSI后，默认的单点登录时间为8小时.可以使用属性SsoLifetime对其进行配置。该属性以分钟为单位，因此其默认值为480。

我希望这能帮点忙。