寻找指导,以了解saml驱动的ForceAuthn=true背后的用例。
我们知道ForceAuthn=true总是会向用户询问凭据,这会产生摩擦,从而给用户带来负面体验。
然而,这是UX的故事。安全方面呢?
如果ForceAuthn=false,我验证一次,第二次无缝登录将发生。
这可能会产生一个问题,使用公共PC的无意识用户可能会将访问权限留给下一个人。
如果您是(或为)提供商(例如SaaS)工作,并且与客户端使用saml驱动的SSO,那么您在此主题方面的策略/经验是什么?
服务提供商设置ForceAuthn=true不常见。作为服务提供者,当您将该过程委托给身份提供者时,如何对用户进行身份验证并不是您的决定。而且,当IdP使用Kerberos等非交互式身份验证机制时会发生什么情况?虽然他们可能会看到重定向发生,但无论是否强制身份验证,都没有用户交互。关键是,如果你外包认证,那就外包吧,然后让IdP为你提供有关认证的任何赔偿。
我看到服务提供商正在使用ForceAuthn=true作为"单一事务授权"。如工作流中的步骤授权和数字签名。