要求使用相同的 IDP 重新进行身份验证 - Spring SAML

Posted 2023-02-27

【中文标题】要求使用相同的 IDP 重新进行身份验证 - Spring SAML

【英文标题】：asked to reauthenticate with the same IDP - Spring SAML

【发布时间】：2015-03-04 10:01:54

【问题描述】：

@vschafer

我有一个场景，我的应用程序充当服务提供者之一。我的应用程序也与另一个服务提供商交互以获得访问权限。但是这两个服务提供商都在与同一个 IDP 进行通信以进行身份​​验证。

用户通过验证 IDP 来登录我的应用程序 身份验证成功后，用户可以访问应用程序 现在，用户尝试访问应用程序中的资源 用户被重定向到另一个服务提供商应用程序，该应用程序也与同一个 IDP 绑定以进行身份​​验证 虽然用户使用相同的 IDP 进行了一次身份验证，但用户被要求再次使用第二个服务提供商进行身份验证。

我认为不应允许用户再次强制进行身份验证。请让我知道我对此的理解是否正确。

此外，forceAuthn 在这种情况下是否可以发挥作用？

【参考方案1】：

所有这些都不应与您的应用程序或 Spring SAML 有任何关系。一旦您将用户重定向到第二个应用程序（第 4 步），它就有责任与 IDP 进行交互（发送它自己的 AuthnRequest 并接收 Response），您再也无法影响它了。

可能是第二个应用程序在向 IDP 发送 AuthnRequest 时设置了 forceAuthn 标志 - 强制 IDP 重新验证您的用户。它也可能与 IDP 端的某些设置有关，或者可能与某些 cookie 问题有关。您应该与 IDP 的所有者沟通，并要求他们解决为什么要求用户重新进行身份验证（例如通过检查他们的日志）而不是单点登录。