Existe um parâmetro de configuração denominado IssueOAuthRefreshTokensTo no objeto da terceira parte do ADFS que controla em que tipo de token de atualização de dispositivos é emitido. Por padrão, esse valor é definido como "NoDevice", o que significa que o ADFS não lançará tokens de atualização. Valores possíveis são
- NoDevice = nunca emite tokens de atualização
- AllDevices = sempre emite tokens de atualização
- WorkplaceJoinedDevices = apenas emitir tokens de atualização em dispositivos associados ao local de trabalho, ou seja, aqueles que foram registrados usando o serviço DRS.
Além de verificar se a terceira parte confiável permite a emissão de tokens de atualização, o ADFS também verificará o seguinte.
- O token SSO apresentado ao ADFS não expira antes que o token de acesso ao RP expire. Contanto que você não tenha alterado os valores de configuração padrão e esteja entrando com uma sessão de navegador limpa (ou seja, nenhum cookie SSO), este caso não deve entrar em ação.
- A terceira parte confiável não está marcada para sempre exigir credenciais novas.
Você também pode verificar se está enviando um parâmetro de recurso válido na solicitação de autorização?
O ADFS possui um log de depuração. Se você puder reproduzir esse comportamento em um sistema que não seja de produção, a maneira mais fácil de identificar o problema poderá ser ativar os logs de depuração.
Este artigo aborda como habilitar logs de depuração em um sistema ADFS 2.0. O ADFS 3.0 (2012 R2) é semelhante, os nomes dos nós são ligeiramente diferentes e você não precisa ativar o rastreamento WIF ou WCF no arquivo de configuração.