wso2is - 是否可以禁用基本验证器?
wso2is - is it possible to disable the basic authenticator?
使用 WSO2 IS(5.0.0.SP1 或 5.1.0)- 是否可以禁用默认的基本验证器?
原因是 - 在客户端使用自定义身份验证器来提供额外的安全措施(一次性密码、客户端证书等)。
一旦用户强制使用基本身份验证器身份验证(例如使用 /samlsso?spEntityID=any_invalid_data_here),用户将仅使用其用户名和密码进行身份验证,跳过任何其他身份验证。一旦通过身份验证,IS 将不会验证其他安全措施(假设用户名和密码并不总是足够的,并且客户端甚至 sec 标准需要额外的身份验证)。
看到应用程序-authentication.xml 配置文件,我尝试禁用那里的基本身份验证器或在默认序列配置中替换它,但没有成功。
关闭问题:IdP 发起的具有无效颁发者的 SSO 似乎已在 5.1.0 中修复,其中身份验证器链得到更好的执行
使用 WSO2 IS(5.0.0.SP1 或 5.1.0)- 是否可以禁用默认的基本验证器?
原因是 - 在客户端使用自定义身份验证器来提供额外的安全措施(一次性密码、客户端证书等)。
一旦用户强制使用基本身份验证器身份验证(例如使用 /samlsso?spEntityID=any_invalid_data_here),用户将仅使用其用户名和密码进行身份验证,跳过任何其他身份验证。一旦通过身份验证,IS 将不会验证其他安全措施(假设用户名和密码并不总是足够的,并且客户端甚至 sec 标准需要额外的身份验证)。
看到应用程序-authentication.xml 配置文件,我尝试禁用那里的基本身份验证器或在默认序列配置中替换它,但没有成功。
关闭问题:IdP 发起的具有无效颁发者的 SSO 似乎已在 5.1.0 中修复,其中身份验证器链得到更好的执行