問用相同的IDP再認證 - 春SAML

Question

@vschafer

我遇到的情況，我的應用程序作爲服務提供商之一。我的應用程序也與另一個服務提供者交互以獲得訪問權限。但是兩個服務提供商都使用相同的IDP進行身份驗證。

1. 用戶登錄到我的應用程序通過驗證對IDP
2. 用戶被成功認證時提供訪問應用程序現在
3. ，用戶試圖在應用
4. 用戶重定向到訪問資源另一個服務提供商應用程序也使用相同的IDP進行身份驗證
5. 儘管用戶使用相同的IDP進行了一次身份驗證，但仍會要求用戶再次向第二個服務提供商進行身份驗證。

我相信用戶不應該被強制再次認證。請讓我知道，如果我的理解是正確的或不正確的。

另外，forceAuthn在這個場景中扮演了什麼角色？

Answer 1

所有這些都不應與您的應用程序或Spring SAML有任何關係。一旦您將用戶重定向到第二個應用程序（步驟4），則它有責任與IDP進行交互（發送自己的AuthnRequest並接收Response），並且沒有什麼可以影響它了。

當向IDP發送AuthnRequest時，第二個應用程序可能會設置forceAuthn標誌 - 迫使IDP重新對用戶進行身份驗證。它也可能與IDP方面的一些設置有關，或者可能與cookie問題有關。您應該與IDP的所有者進行溝通，並要求他們解答爲什麼用戶要求重新驗證（例如通過檢查其日誌），而不是單一登錄。