SAML:即使用户有 IDP 会话,是否也可以强制用户完成登录过程
SAML: is it possible to force user to go through login process even when user has an IDP session
在 SAML 中,是否可以强制用户每次都通过 idp 的登录过程,即使用户有一个活动的 idp 会话?
这里做一个具体的例子:
让我们调用我的应用程序 "SP"
我使用 SSOCirecle 作为 idp,我使用 POST 和重定向(SP 启动)。
为了测试,我将首先登录到 SSOCircle 以获取活动的 idp 会话。然后当我尝试去 SP 时,我应该被重定向到 idp。
通常,因为我已经有一个活动的 idp 会话,idp 会看到 "oh, you already being authenticated before, you can go directly to SP!"
但我不想那样,我希望 idp 每次都强制用户输入凭据,也许是(我猜)
- 忽略活动的 idp 会话
- 不要创建 idp 会话
我想知道这是否可行。
是的,SP 可以在 AuthnRequest 中向 Idp 发送标志 ForceAuthn 以要求新的身份验证,而不是重新使用现有会话。
与 SAML2 一样,您不能指望所有 Idps 都支持所有内容。你必须测试你的 Idp 是否支持 ForceAuthn 标志。
在 SAML 中,是否可以强制用户每次都通过 idp 的登录过程,即使用户有一个活动的 idp 会话?
这里做一个具体的例子: 让我们调用我的应用程序 "SP" 我使用 SSOCirecle 作为 idp,我使用 POST 和重定向(SP 启动)。
为了测试,我将首先登录到 SSOCircle 以获取活动的 idp 会话。然后当我尝试去 SP 时,我应该被重定向到 idp。
通常,因为我已经有一个活动的 idp 会话,idp 会看到 "oh, you already being authenticated before, you can go directly to SP!"
但我不想那样,我希望 idp 每次都强制用户输入凭据,也许是(我猜)
- 忽略活动的 idp 会话
- 不要创建 idp 会话
我想知道这是否可行。
是的,SP 可以在 AuthnRequest 中向 Idp 发送标志 ForceAuthn 以要求新的身份验证,而不是重新使用现有会话。
与 SAML2 一样,您不能指望所有 Idps 都支持所有内容。你必须测试你的 Idp 是否支持 ForceAuthn 标志。