要求使用相同的 IDP 重新进行身份验证 - Spring SAML
asked to reauthenticate with the same IDP - Spring SAML
@vschafer
我有一个场景,我的应用程序充当服务提供者之一。我的应用程序也与另一个服务提供商交互以获得访问权限。但是两个服务提供商都在与同一个 IDP 通信以进行身份验证。
- 用户通过验证 IDP
登录到我的应用程序
- 用户在身份验证成功后获得对应用程序的访问权限
- 现在,用户尝试访问应用程序中的资源
- 用户被重定向到另一个服务提供商应用程序,该应用程序也与同一 IDP 绑定以进行身份验证
- 虽然用户使用同一个 IDP 进行了一次身份验证,但要求用户再次使用第二个服务提供商进行身份验证。
我认为不应允许用户再次强制进行身份验证。请让我知道我的理解是否正确。
此外,forceAuthn 在这种情况下有作用吗??
所有这些都不应以任何方式与您的应用程序或 Spring SAML 相关。一旦您将用户重定向到第二个应用程序(第 4 步),它就负责与 IDP 交互(发送它自己的 AuthnRequest 并接收 Response),您再也无法影响它了。
第二个应用程序可能在向 IDP 发送 AuthnRequest 时设置了 forceAuthn 标志 - 迫使 IDP 重新验证您的用户。它也可能与 IDP 端的某些设置有关,或者可能与某些 cookie 问题有关。您应该与 IDP 的所有者沟通并要求他们解决为什么要求用户重新进行身份验证(例如通过检查他们的日志)而不是单点登录。
@vschafer
我有一个场景,我的应用程序充当服务提供者之一。我的应用程序也与另一个服务提供商交互以获得访问权限。但是两个服务提供商都在与同一个 IDP 通信以进行身份验证。
- 用户通过验证 IDP 登录到我的应用程序
- 用户在身份验证成功后获得对应用程序的访问权限
- 现在,用户尝试访问应用程序中的资源
- 用户被重定向到另一个服务提供商应用程序,该应用程序也与同一 IDP 绑定以进行身份验证
- 虽然用户使用同一个 IDP 进行了一次身份验证,但要求用户再次使用第二个服务提供商进行身份验证。
我认为不应允许用户再次强制进行身份验证。请让我知道我的理解是否正确。
此外,forceAuthn 在这种情况下有作用吗??
所有这些都不应以任何方式与您的应用程序或 Spring SAML 相关。一旦您将用户重定向到第二个应用程序(第 4 步),它就负责与 IDP 交互(发送它自己的 AuthnRequest 并接收 Response),您再也无法影响它了。
第二个应用程序可能在向 IDP 发送 AuthnRequest 时设置了 forceAuthn 标志 - 迫使 IDP 重新验证您的用户。它也可能与 IDP 端的某些设置有关,或者可能与某些 cookie 问题有关。您应该与 IDP 的所有者沟通并要求他们解决为什么要求用户重新进行身份验证(例如通过检查他们的日志)而不是单点登录。