SSO和多因素認證

Question

我感興趣的是如何在以下情況下會使用SiteMinder和OpenSSO的

鑑於兩個Web應用程序進行管理，並授權在它們之間使用SSO。應用程序A是一個簡單的應用程序，只需要用戶名/密碼組合。應用程序B需要多因素認證。

我們應該如何管理兩個應用程序之間不同的身份驗證級別？有沒有一種方法可以像SiteMinder這樣的工具來表達，所以如果用戶登錄到應用程序A，用戶可以被分配一個「基本身份驗證級別」，但是如果他們碰到應用程序B，他們會受到第二個因素的挑戰？

我的直覺是，第二個因素需要在SiteMinder級別進行管理，因爲App B坐在它後面，從其角度來看，身份驗證是由App Server/SSO管理器強制執行的二元決策：即應用程序被「告知」用戶已被認證或不被認證....應用程序B不會處理用戶所具有的認證級別。

SiteMinder是否可以管理這種不同認證級別的想法，它可以用SAML表達嗎？

我還以爲這是產生了一個共同的模式，但我似乎無法找到的配置，最佳實踐等

在此先感謝任何文件，

Fintan

Answer 1

這是SiteMinder絕對可以做的事情。有時它被稱爲「升級身份驗證」 - 這基本上意味着在需要時用更強的身份驗證方式驗證用戶身份。

它應該由SiteMinder的策略引擎集中控制。其他Web訪問管理產品也有類似的方法。

當您談論聯盟到您的域之外的應用程序時，SAML可能會發揮作用。在SAML中，您可以指定一個AuthnContext，它向另一方指示需要/已經執行了哪些認證級別。

Answer 2

SiteMinder似乎滿足這一要求的功能是分配給每個域的保護級別。這可以用來模擬額外的授權級別，這取決於您最初驗證的方式/位置。至少這是我設計我們的解決方案的方式。