SAML:即使用户有一个IDP会话,也可以强制用户完成登录过程吗
在SAML中,即使用户有一个活动的idp会话,是否有可能每次都强制用户通过idp的登录过程?
这里举一个具体的例子:我们将我的应用程序称为“SP”,我使用SSOCirecle作为idp,并使用POST和重定向(SP启动)。
为了进行测试,我将首先登录到SSOCircle以获得活动的idp会话。然后,当我尝试转到SP时,我应该被重定向到idp。
通常,由于我已经有一个活动的idp会话,idp会看到“哦,你之前已经通过身份验证了,你可以直接去SP!”
但我不希望这样,我希望idp强制用户每次输入凭据,可能是其中之一(我猜)
- 忽略活动的 idp 会话
- 不创建 idp 会话
我想知道这是否可行。
共有1个答案
是的,SP可以向AuthnRequest中的Idp发送标志ForceAuthn以要求新的身份验证,而不是重用现有会话。
与 SAML2 一样,您不能指望所有 Idps 都支持所有内容。您必须测试您的IDP是否支持ForceAuthn标志。
-
我已经在我的应用程序中配置了spring saml和spring security。我给出了不同的url模式来识别请求。如果我在app URL中附加/rest,那么它将创建带有基本身份验证的Spring Security上下文。如果我在应用程序URL中附加/saml,那么它将填充IDP登录页面并重定向到索引。成功登录后返回html。 但我被重定向到登录。再次使用html页面而不是索引。html。在
-
在我们的例子中,我们有两个完全不同的web应用程序运行在两个不同的域和平台上,比如app X(同时充当SAML服务提供商)和app Y。在app X的登录页面中,用户可以选择Okta作为SAML SSO服务提供商,inturn将他重定向到Okta进行凭据验证。然后appx将接收SAML响应以验证断言,并让用户登录到appx。 现在在应用程序X中,已经登录的用户可以单击应用程序Y的另一个链接。单击会
-
问题内容: 如果我想使用Web应用程序跟踪与每个客户端的对话状态,那么哪个更好的替代方法是使用Session Bean还是HTTP Session? 使用HTTP会话: 使用会话EJB: 在执行ServletContextListener时注册为Web应用程序侦听器: 在JSP中: 同一JSP正文中的其他地方: 在我看来,它们几乎是相同的,主要区别在于UserState实例是在前者中传输的,而在后
-
本文向大家介绍使用redis管理用户登录会话的方法,包括了使用redis管理用户登录会话的方法的使用技巧和注意事项,需要的朋友参考一下 登录和cookie缓存 对于用来登录的cookie,有两种常见的方法可以将登录信息存储在cookie里面:一种是签名(signed)cookie,另一种是令牌(token)cookie。 签名cookie通常会存储用户名,可能还有用户ID、用户最后一次成功登陆的时
-
问题内容: 我在Tomcat7上使用Spring 3.2和Spring-security 3.1以及jsf + primefaces和hibernate4 我想添加一个并发控件以将用户的会话限制为一个,并在用户尝试第二次登录时显示并显示错误消息。问题是。我可以同时登录chrome和firefox。它不会阻止多次登录。您可以看到我的安全配置。第一次登录和第二次登录时生成的日志出了什么问题? 首次登录
-
问题内容: 相反:如何使用Spring Security手动注销用户? 在我的应用程序中,我 注册了一个新用户屏幕 ,该 屏幕 发布到一个控制器中,该控制器在db中创建一个新用户(并进行了一些明显的检查)。然后我希望这个新用户自动登录…我有点想要某种东西像这样 : 编辑 好吧,我几乎已经基于如何使用Spring Security3.1以编程方式登录用户的答案实现了 但是,部署后,jsp无法访问my