使用WSO2 IS(5.0.0.SP1或5.1.0) - 是否可以禁用默认的基本身份验证器?
原因是 - 在客户端使用自定义身份验证器提供额外的安全措施(一次性密码,客户端证书,......)。
一旦用户强制使用基本身份验证器身份验证(例如,使用/ samlsso?spEntityID = any_invalid_data_here),用户只能使用其用户名和密码进行身份验证,并跳过任何其他身份验证。一旦通过身份验证,IS就不会验证其他安全措施(假设用户名和密码并不总是足够,客户端甚至是sec标准都要求进行额外的身份验证)。
看到application-authentication.xml配置文件,我尝试在那里禁用基本身份验证器,或者在默认的Sequence配置中替换它,但没有成功。
答案 0 :(得分:0)
关闭问题:IdP发起的无效发行人SSO似乎在5.1.0中得到修复,其中验证者链的执行得更好