【问题标题】:Explicit authentication in SSOSSO 中的显式身份验证
【发布时间】:2014-10-09 08:14:17
【问题描述】:

场景: 我们在云上部署了一个 Web 应用程序。此应用程序使用客户端的 SSO(Idp 启动)设置。一切正常。用户一旦登录到他们的公司网络,就可以使用我们的应用程序,而无需输入他们的凭据。

了解 SSO: SSO 旨在集中管理身份,针对每个企业应用程序将凭据作为输入并对用户进行身份验证。这会导致信任,因为用户没有输入用户名/密码来使用应用程序。

关于电子签名的注意事项: 这一点,不要被数字签名混淆。这是制药领域软件非常关键的要求。如果用户正在执行一些重要的操作,例如批准等,然后她必须在执行该操作之前明确输入她的凭据,即使用户已经登录并具有会话。这样做的目的是防止滥用打开的终端。

问题: 对于 SSO 下的应用程序,有没有办法按照电子签名的要求进行显式身份验证

请注意,我们的应用程序总是可以发送一个 SAML 请求来检查用户是否被授权,但它在没有密码的情况下发生并且它不是显式身份验证。

【问题讨论】:

    标签: java authentication single-sign-on saml-2.0 opensaml


    【解决方案1】:

    您在询问ForceAuthn(第 49 页,第 2042 行):

    ForceAuthn [可选]: 一个布尔值。如果为“真”,身份提供者必​​须直接验证演示者,而不是依赖先前的安全上下文。如果未提供值,则默认值为“false”。但是,如果 ForceAuthn 和 IsPassive 都为“true”,则身份提供者不得重新对演示者进行身份验证,除非可以满足 IsPassive 的约束

    【讨论】:

    • 安迪,看来这就是我需要的。谢谢你。我会试试这个。
    【解决方案2】:

    严重挖掘旧线程...问题似乎是并非所有提供商都会强制使用 ForceAuthn 进行交互式身份验证——只要他们不依赖以前的安全上下文,他们就会“遵守”规范。但这意味着,如果您根本没有登录,因此没有以前的安全上下文可依赖,您可以提出 ForceAuthn 请求,IDP 将使用他们采用的任何桌面单点登录解决方案来愉快地授予您新会话(即新的安全上下文)并将您传递回 SP,而无需手动/主动与 IDP 交互。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2016-10-31
      • 2013-09-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2014-08-28
      • 1970-01-01
      相关资源
      最近更新 更多