基本上,我希望服务提供商用户在应用程序注销后强制对我的身份提供者(Azure Active Directory)进行重新身份验证,即使idp会话已经存在。我相信在forceauthn参数的帮助下,我们可以实现这一目标。
我试图在idp元数据文件中插入forceauthn="true"并将其上传到服务提供,但它不会工作,但有人可以建议我如何在SAML请求中提及forceauthn参数,以便事情工作。
仅仅因为身份提供者(Azure AD,在这种情况下)支持响应AuthnRequest的ForceAuthn=True声明的强制身份验证并不意味着像Slack和Zoom这样的服务提供者将ForceAuthn控制暴露给其客户的组织管理员。您的示例服务提供商都没有为SP-init提供它。你需要向相关公司提交功能请求。他们可能已经有您的组织可以附加的请求。一定要给他们提供一个商业案例。
也就是说,这两个示例组织都支持身份提供者发起的SAML,这将允许您完全控制整个身份验证体验(只有少量的身份验证功能损失)。
如果我和你处于同样的境地,我可能会问:
- 为什么我不相信用户的当前会话?
- 多重认证如何影响我的用户的"单点登录";经验吗?
- 我的方法是否会导致更多的密码疲劳,并促使用户选择更容易的密码?