SAML:即使用户有 IDP 会话，是否也可以强制用户进行登录过程 [英] SAML: is it possible to force user to go through login process even when user has an IDP session

问题描述

在 SAML 中，是否可以强制用户每次都经过 idp 的登录过程，即使用户有活动的 idp 会话?

In SAML, is it possible to force the user to go through idp's login process everytime even when the user has an active idp session?

在这里举一个具体的例子:让我们称我的应用程序为SP"我使用 SSOCirecle 作为 idp，我使用 POST 和重定向(SP 启动).

To make a concrete example here: Let's call my application "SP" I use SSOCirecle as idp and I use POST and redirect (SP initiated).

为了测试，我将首先登录到 SSOCircle 以获取活动的 idp 会话.然后当我尝试去SP时，我应该被重定向到idp.

To test, I will first login to SSOCircle to get an active idp session. Then when I try going to SP, I should be redirected to idp.

通常情况下，由于我已经有一个活跃的 idp 会话，因此 idp 会看到哦，你之前已经通过身份验证了，你可以直接去 SP！"

Normally, since I already have an active idp session, the idp will see "oh, you already being authenticated before, you can go directly to SP!"

但我不希望那样，我希望 idp 每次都强制用户输入凭据，也许是(我猜)

But I don't want that, I want idp to force the user to enter credential everytime, maybe by either (I guess)

1. 忽略活动的 idp 会话
2. 不要创建 idp 会话

我想知道这是否可行.

推荐答案

是的，SP 可以在 AuthnRequest 中向 Idp 发送标志 ForceAuthn 以要求新的身份验证而不是重用现有会话.

Yes, the SP can send a flag ForceAuthn to the Idp in the AuthnRequest to require a new authentication instead of reusing an existing session.

与 SAML2 一样，您不能指望所有 Idp 都支持所有内容.你必须测试你的 Idp 是否支持 ForceAuthn 标志.

As always with SAML2, you can't expect all Idps to support everything. Yyou have to test if your Idp supports the ForceAuthn flag.

这篇关于SAML:即使用户有 IDP 会话，是否也可以强制用户进行登录过程的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！