我现在有什么?
我有一个有效的SP启动流程,用户可以在该流程中根据其IDP进行身份验证。如果他们在一段时间后返回并单击由SP启动的身份验证链接,则IDP允许他们绕过输入凭据。
问题
答案 0 :(得分:0)
大多数时候,引入基于SAML的联合SSO的目的是用户不必一遍又一遍地输入其凭据。因此,不必键入其凭据是IDP的功能。
但是行为完全取决于控制用户身份验证方式和时间的IDP。 SP可以询问进行强制身份验证,但是仍然由IDP决定是否满足该请求(遵循规范)。
如果用户已在当前身份验证请求之前的短时间内显式登录,则IDP可能会跳过显式询问凭证。对于用户而言,这仍然是相对安全和方便的。
答案 1 :(得分:0)
您可以通过在身份验证请求中传递ForceAuthn = true属性来强制IdP始终提示用户重新身份验证。