We would like Box to reference the SessionNotOnOrAfter value in the SAML response and allow the session timeout to be set shorter than the tenant’s default value (and, if possible, longer as well).

Our intention is to have the IdP determine the security level based on factors such as device type and user type, and then shorten the session only when the risk is high, while allowing longer sessions when the risk is low, thereby enabling risk-based session management.

【In Japanese】
＜タイトル＞
SAML SessionNotOnOrAfter によるセッションタイムアウト動的制御の要望

＜本文＞
SAMLレスポンス内の SessionNotOnOrAfter を参照し、Boxのセッションタイムアウトをテナントデフォルト値より短く（可能であれば長くも）設定できるようにしていただきたいです。
IdP側でデバイス種別・ユーザー種別などから安全性を判定し、安全性が低い場合のみセッションを短く、高い場合は長くすることで、リスクベースのセッション管理を実現したい意図があります。