Использовать OID C Предоставление пароля с MFA

Question

https://developers.onelogin.com/openid-connect/api/password-grant

Я пытаюсь попасть в поток password_grant. Однако, когда я нажимаю для пользователя, настроенного с помощью MFA, я получаю сообщение об ошибке

{
"error": "invalid_request",
"error_description": "MFA is required for this user"}

. Есть ли способ выполнить поток предоставления пароля, чтобы другие клиенты, такие как веб и мобильные, могли подключиться к конечной точке, не имея прибегнуть к потоку аутентификации?

Answer 1

К сожалению нет. Использование этого типа гранта не рекомендуется именно по этой причине - вы не можете делать MFA (если только не через побочный канал, такой как уведомление pu sh), согласие или федерацию.

Эта статья подводит итог проблемы: https://www.scottbrady91.com/OAuth/Why-the-Resource-Owner-Password-Credentials-Grant-Type-is-not-Authentication-nor-Suitable-for-Modern-Applications