SAML 2.0 с привязкой «POST»: есть ли какой-либо способ для Поставщика услуг запросить IdP для повторной аутентификации пользователя для конкретного запроса? Я имею в виду, что первый пользователь веб-сайта вводит логин/пароль, чем хранит какой-то куки-файл в памяти браузера, чтобы он запоминал пользователя и не спрашивал его снова в следующий раз в сеансе. Я хочу SP иметь возможность реализовать повторную аутентификацию, это означает, что команду запрашивает у пользователя пароль еще разКак поставщик услуг может усилить запрос пароля на сервере IdP?
Единственная подобная вещь я нашел (ForceAuthn
), и это не помогает мне:
<samlp:AuthnRequest ForceAuthn="true" ... >
Согласно документации ForceAuthn
- это именно то, что мне нужно, но по какой-то причине Microsoft ADFS 2.0 полностью игнорирует его, не спрашивая у пользователя пароль
Force authn - это путь, и из того, что я могу читать в документах ADFS, он поддерживается. Вы сообщаете какие-либо сообщения? Я полагаю, у вас нет доступа к журналам ADFS? –
Нет, у меня нет сообщений, и я считаю, что могу получить доступ к его журналам в понедельник, я дам вам знать, есть ли в них что-то ценное. – YMC
Как аутентифицируется пользователь в ADFS (IDP)? Если это Kerberos или NTLM, я думаю, что браузер будет автоматически повторно аутентифицировать пользователя, и пользователь не будет иметь никакого взаимодействия с IDP до тех пор, пока браузер не будет закрыт/повторно открыт (только NTLM). Это действительно зависит от механизма аутентификации IDP пользователя, и если ForceAuthn поддерживается. – Ian