попросили повторную аутентификацию с тем же IDP - Spring SAML

Question

@vschafer

У меня есть сценарий, где мои приложения выступает в качестве одного из поставщиков услуг. Мое приложение также взаимодействует с другим поставщиком услуг, чтобы получить доступ. Но оба поставщика услуг обмениваются данными с тем же IDP для аутентификации.

1. пользователь регистрируется в моем заявлении по проверке против IDP
2. пользователю предоставляется доступ к приложению после успешной аутентификации
3. Теперь пользователь пытается получить доступ к ресурсу в приложении
4. Пользователь перенаправляется на другое приложение поставщика услуг, которое также связано с тем же IDP для аутентификации
5. Хотя пользователь один раз аутентифицирован одним и тем же IDP, пользователя попросят снова подтвердить подлинность со вторым поставщиком услуг.

Я считаю, что пользователю не должно быть позволено снова аутентифицироваться. Пожалуйста, дайте мне знать, правильно ли я понимаю то же самое или нет.

Более того, действительно ли forceAuthn играет определенную роль в этом сценарии ??

Answer 1

Все это не должно быть каким-либо образом связано с вашим приложением или Spring SAML. Как только вы перенаправляете пользователя ко второму приложению (шаг 4), его обязанность заключается в взаимодействии с IDP (отправьте его AuthnRequest и получите Response), и вы ничего не можете с этим поделать.

Возможно, что второе приложение устанавливает флаг forceAuthn при отправке AuthnRequest в IDP - принуждение IDP к повторной аутентификации вашего пользователя. Это также может быть связано с некоторыми настройками на стороне IDP или, возможно, с некоторыми проблемами с файлами cookie. Вам следует связаться с владельцами IDP и попросить их устранить причины, по которым пользователь запрашивает повторную аутентификацию (например, путем изучения их журналов) вместо того, чтобы выполнять однократную подписку.