Принудить IDP запрашивать учетные данные

Question

Что у меня сейчас?

У меня есть рабочий поток, инициированный SP, где пользователи могут проходить аутентификацию на своем IDP. Если они возвращаются через некоторое время и щелкают по ссылке, инициированной SP, IDP позволяет им обойти ввод учетных данных.

Вопрос

1. Почему IDP разрешает пользователю перепрыгивать через ввод учетных данных? Я обнаружил, что если я удалю свои куки, этого не произойдет. Является ли это IDP установленным cookie и контролируемым IDP сеансом? Могу ли я контролировать это через запрос SAML?
2. Можно ли принудить IDP всегда запрашивать учетные данные, установив FOO SAML Request flag? Это вообще возможно?

Answer 1

Вы можете заставить IdP всегда запрашивать повторную аутентификацию пользователя, передавая атрибут ForceAuthn = true в запросе на аутентификацию.

Answer 2

В большинстве случаев смысл введения федеративного единого входа на основе SAML состоит в том, что пользователям не нужно вводить свои учетные данные снова и снова. Поэтому отсутствие необходимости вводить свои учетные данные является особенностью IDP.

Но поведение полностью зависит от IDP, который контролирует, как и когда пользователь аутентифицируется. SP может запрашивать принудительную аутентификацию, но все равно именно IDP решает, будет ли удовлетворен этот запрос (следуя спецификации).

IDP может пропустить запрос явных учетных данных, если пользователь явно выполнил вход в систему в течение короткого периода времени перед текущим запросом аутентификации. Это все еще относительно безопасно и удобно для пользователя.