强制 IDP 要求提供凭据
Posted
技术标签:
【中文标题】强制 IDP 要求提供凭据【英文标题】:Enforce IDP to ask for credentials 【发布时间】:2018-09-05 08:10:38 【问题描述】:我现在有什么?
我有一个有效的 SP 发起的流程,用户可以在其中针对他们的 IDP 进行身份验证。如果他们在一段时间后返回并单击 SP 发起的身份验证链接,IDP 会让他们绕过输入凭据。
问题
-
为什么 IDP 决定允许用户跳过输入凭据?我发现如果我删除我的 cookie,这不会发生。这是 IDP 设置的 cookie 和 IDP 控制的会话吗?我可以通过 SAML 请求来控制吗?
我能否通过设置 FOO SAML 请求标志来强制 IDP 始终要求提供凭据?这甚至可能吗?
【问题讨论】:
找到了(2)的答案:***.com/questions/15442657/… 【参考方案1】:在大多数情况下,引入基于 SAML 的联合 SSO 的意义在于,用户不必一遍又一遍地输入他们的凭据。因此,无需输入他们的凭据是 IDP 的一项功能。
但行为完全取决于控制用户身份验证方式和时间的 IDP。 SP 可以要求强制身份验证,但它仍然是 IDP 来决定是否接受该请求(通过遵循规范)。
如果用户在当前身份验证请求之前的短时间内明确登录,则 IDP 可能会跳过明确要求凭据。这对用户来说还是比较安全和方便的。
【讨论】:
【参考方案2】:您可以通过在身份验证请求中传递 ForceAuthn=true 属性来强制 IdP 始终提示用户重新进行身份验证。
【讨论】:
以上是关于强制 IDP 要求提供凭据的主要内容,如果未能解决你的问题,请参考以下文章
INVALID_IDP_RESPONSE:提供的身份验证凭据格式错误或已过期