在SAML中,即使用户有活动的idp会话,是否可以强制用户每次都通过idp的登录过程?
在这里举一个具体的例子: 我们叫我的应用程序“SP” 我使用SSOCirecle作为idp,我使用POST和重定向(SP启动)。
要测试,我将首先登录SSOCircle以获得活动的idp会话。然后当我尝试去SP时,我应该被重定向到idp。
通常,由于我已经有一个活跃的idp会话,idp会看到“哦,你之前已经过身份验证,你可以直接转到SP!”
但我不希望这样,我希望idp强制用户每次都输入凭证,也许是(我猜)
我想知道这是否可行。
答案 0 :(得分:3)
是的,SP可以向AuthnRequest中的Idp发送标记ForceAuthn
,以要求新的身份验证,而不是重用现有会话。
与SAML2一样,您不能指望所有Idps都支持所有内容。你必须测试你的Idp是否支持ForceAuthn
标志。