我的问题非常类似于:How should I be implementing the HTTP POST Protocol Binding for SAML WebSSO Profile?
但我无法找到合适的答案。是否可以通过HTTP-Post绑定发送请求,并将isPassive设置为true。绿洲规范说,IdP不得“明显地”#34;控制用户界面。因此,IdP必须以某种方式了解用户。
如果用户已经在SP端的会话上处于活动状态,我该如何将该信息中继到IdP并让他们重新验证用户?
我想验证用户,而不会妨碍用户的流程......
答案 0 :(得分:0)
有一些常用方法可以使用IsPassive = true重新验证用户身份。例如,集成Windows Auth(Kerberos)和基于x509 Cert Based Auth都可以在用户体验的基础上完成。
如果您在AuthnRequest中合并了ForceAuthn = true和IsPassive = true,那么应该强制IDP重新验证用户,如果可以满足这两个条件。