如果未更改过期时间,连接服务器将在 24 小时后停止接受来自 SAML 身份验证器(如 Unified Access Gateway 设备或第三方身份提供程序)的 SAML 断言,并且必须重新执行元数据交换过程。

此过程用于指定在连接服务器停止接受来自身份提供程序的 SAML 断言之前可经过的天数。此数值将在当前过期时间结束时使用。例如,如果当前过期时间为 1 天,而您指定的是 90 天,那么经过 1 天后,连接服务器会生成过期时间为 90 天的元数据。

前提条件

请参阅 Microsoft TechNet 网站,了解如何在您的 Windows 操作系统版本上使用“ADSI 编辑”实用程序。

过程

  1. 在您的连接服务器主机上启动“ADSI 编辑”实用程序。
  2. 在控制台树中,选择连接到
  3. 选择或键入可分辨名称或命名上下文文本框中,键入可分辨名称 DC=vdi, DC=vmware, DC=int
  4. 在“计算机”窗格中,选择或键入 localhost:389 或者连接服务器主机的完全限定域名 (Fully Qualified Domain Name, FQDN) 后跟端口 389。
    例如: localhost:389mycomputer.example.com:389
  5. 展开“ADSI 编辑”树,展开 OU=Properties,选择 OU=Global,然后在右侧窗格中双击 CN=Common
  6. 在“属性”对话框中,编辑 pae-NameValuePair 属性以添加以下值: 
    cs-samlencryptionkeyvaliditydays=number-of-days
cs-samlsigningkeyvaliditydays=number-of-days

    在此示例中,number-of-days 是在远程连接服务器停止接受 SAML 断言之前经过的天数。在这段时间过后,必须重新执行 SAML 元数据交换过程。