8.4. 用户会话限制

对用户可以配置的会话数量的限值。会话可以限制每个域或每个客户端。

要为流添加会话限制，请执行以下步骤。

请注意，用户会话限制应添加到绑定 浏览器流、直接授权流、重置凭据 以及任何 Post 代理登录流。当用户在身份验证期间知道时（通常是身份验证流的末尾）并且通常为 REQUIRED 时，应添加验证器。请注意，无法在同一级别上进行 ALTERNATIVE 和 REQUIRED 执行。

对于（如 Direct grant flow、Reset credentials 或 Post broker login flow ）等大多数验证器，建议在身份验证流的末尾将验证器作为 REQUIRED 添加。以下是 重置凭证 流的示例：

对于 浏览器 流，请考虑不要在顶级流中添加会话限制验证器。本建议是因为 Cookie 身份验证器，它根据 SSO cookie 自动重新验证用户。它是顶层，最好在 SSO 重新身份验证期间不检查会话限制，因为用户会话已存在。相反，请考虑添加单独的 ALTERNATIVE 子流，如以下 authentication -user-with-session-limit 示例，如 Cookie 相同的级别。然后，您可以在以下 real-authentication-subflow'example 中添加 REQUIRED 子流，作为 'authenticate-user-with-session-limit 的嵌套子流，并在相同的级别上添加用户会话限制。在 real-authentication-subflow 中，您可以使用类似于默认浏览器流的方式添加实际验证器。以下示例流程允许用户使用身份提供程序或使用密码和 OTP 进行身份验证：

关于 Post Broker 登录流，您可以在身份验证流中添加 User Session Limits 作为身份验证流的唯一验证器，只要您没有在身份提供程序验证后触发的其他验证器。但是，请确保此流在身份提供程序中被配置为 Post Broker 流。这个要求存在，以便与身份提供程序进行身份验证也会参与会话限制。