8.4. 用户会话限制

限制用户可以配置用户的会话数。会话可以限制每个域或每个客户端。

要为流添加会话限制，请执行以下步骤。

请注意，用户会话限制应添加到绑定的浏览器 流 中，直接授权流、Reset 凭证，以及任何 Post 代理登录流。当用户在身份验证过程中已知时（通常是身份验证流的末尾）时，应在身份验证时添加验证器，通常是 REQUIRED。请注意，不能在同一级别上具有 ALTERNATIVE 和 REQUIRED 执行。

对于大多数验证器，如 Direct grant flow,Reset credentials 或 Post broker login flow，建议在身份验证流结束时将验证器添加为 REQUIRED。以下是 Reset 凭证流的示例 ：

对于 浏览器 流，请考虑不要在顶级流中添加会话限制验证器。这个建议是由于 Cookie 验证器，它根据 SSO cookie 自动重新验证用户。它处于顶级，最好不要在 SSO 重新身份验证期间检查会话限制，因为用户会话已存在。相反，请考虑在与 Cookie 一样添加单独的 ALTERNATIVE 子流，如以下 authenticate-user-with-session-limit 示例。然后，您可以在以下 real-authentication-subflow'example 中添加一个 REQUIRED 子流，作为 'authenticate-user-with-session-limit 的嵌套子流，并在同一级别添加一个 User Session Limit。在 real-authentication-subflow 中，您可以像默认浏览器流一样添加实际验证器。以下示例流程允许用户使用身份提供程序或密码和 OTP 进行身份验证：

关于 Post Broker 登录流，只要您使用身份提供程序进行身份验证后没有其他验证器，就可以在身份验证流中添加用户会话限制作为身份验证流中的唯一验证器。但是，请确保此流被配置为身份提供程序的 Post Broker 流。需要此要求，以便身份提供程序的身份验证也参与会话限制。