امنیت SSO با یک بار لاگین در روز

 سلام دوستان
1. من میخوام یه sso با keycloak راه‌اندازی کنم. تمام نرم‌افزارها هم از طریق این sso و با پروتکل LDAP به اکتیودایرکتوری وصل بشن.  میخواستم ببینم از نظر امنیتی این کار امنیت داره یا خیر؟

2.  بعضی نرم‌افزارها خودشون می‌تونن مستقیم به Active directory وصل بشن (از طریق LDAP). حالا می‌خواستم ببینم حالت اول امنیت بالاتری داره یا دومی؟ یعنی نرم‌افزار از طریق SSO به AD وصل بشه یا مستقیم؟

3. مورد سوم هم اینه که میخوام کاربر فقط یک بار در روز رمز رو در SSO بزنه و به همه نرم‌افزارها تا آخر روز کاری لاگین بمونه. این مشکلی نداره؟ من در مورد اینکه session منقضی بشه با هوش مصنوعی که چت کردم، گفت توی keycloak دو بحث  access token و refresh token داریم که امنیت رو تا حدی تامین کرده. ولی نمیدونم این‌ها چیه.