情境: 我们在云上部署了一个Web应用程序。此应用程序使用客户端的SSO(Idp启动)设置。事情很好。用户一旦登录到他们的公司网络,就可以使用我们的应用程序而无需输入他们的凭据。
了解SSO: SSO旨在集中管理身份,针对每个企业应用程序,将凭证作为输入并对用户进行身份验证。这导致信任,因为用户不使用应用程序输入用户名/密码。
关于电子签名的说明: 这一点,不要被数字签名所迷惑。这是Pharma域软件的非常关键要求。如果用户正在执行某些重要操作,例如批准等,然后她必须明确地输入她的凭证才能执行该操作,即使用户已经登录并且有会话。这样做的目的是防止滥用开放式终端。
问题: 对于SSO下的应用程序,是否有任何方式进行E-Signature 要求的显式身份验证?
请注意,我们的应用程序始终可以发送SAML请求以检查用户是否获得授权,但是没有密码而且没有显式身份验证。
答案 0 :(得分:1)
您问的是ForceAuthn(第49页,第2042行):
ForceAuthn [可选]: 布尔值。如果为“true”,身份提供者必须直接验证演示者,而不是依赖于先前的安全性上下文。如果未提供值,则默认值为“false”。但是,如果ForceAuthn和IsPassive都是“true”,除非可以满足IsPassive的约束,否则身份提供者不得新近验证演示者
答案 1 :(得分:-1)
深入挖掘旧线程...问题似乎在于,并非所有提供程序都将强制使用ForceAuthn进行交互式身份验证-只要它们不依赖以前的安全上下文,它们就会“遵守”规范。但这意味着,如果您根本没有登录,因此没有以前的安全上下文可以依靠,则可以提出ForceAuthn请求,并且IDP将使用他们采用的任何桌面单点登录解决方案来愉快地为您提供一个新的会话(即新的安全上下文)并将您带回SP,而无需手动/主动与IDP交互。