saml - 服务提供商如何在 IdP 服务器上加强密码提示？

Question

具有“POST”绑定(bind)的 SAML 2.0:服务提供商是否可以通过任何方式要求 IdP 针对特定请求重新进行用户身份验证？我的意思是，第一次 Web 用户输入登录名/密码时，它会在浏览器内存中存储某种 cookie，以便记住用户，并且下次在 session 中不会再次要求他输入密码。我希望 SP 能够强制执行重新身份验证，这意味着再次询问用户密码的命令

我发现的唯一类似的东西(ForceAuthn)它对我没有帮助:

<samlp:AuthnRequest ForceAuthn="true" ... >

根据文档ForceAuthn正是我所需要的，但由于某种原因Microsoft ADFS 2.0完全忽略它而不要求用户输入密码

Answer 1

ADFS 在 IdP 端登录用户的默认行为是 401 (NTLM) 质询，所有主流浏览器都会缓存用户的 id/pw 输入。即使您指定“ForceAuthn=\"true\"”，它也没有帮助，因为客户端浏览器将再次发送您缓存的 id/pw。

有一种方法可以更改 ADFS 登录策略的默认行为，以采用 html 表单登录。假设您在默认位置安装 ADFS，您可以找到 c:\inetpub\adfs\ls\web.config。还有<localAuthenticationTypes>元素，并确保输入 <add name="Forms" page="FormsSignIn.aspx" />作为其中的第一个元素。您还可以根据需要自定义登录表单页面。