基本上,我希望服务提供商用户在应用程序注销后强制针对我的身份提供商(Azure Active Directory)重新进行身份验证,即使 idp 会话已经存在。我确信在
forceauthn
参数的帮助下我们可以实现这一点。
我尝试在 idp 元数据文件中插入
forceauthn="true"
并将其上传到服务提供商,但它不起作用任何人都可以建议我如何在 SAML 请求中提及 forceauthn
参数才能正常工作。
仅仅因为身份提供商(在本例中为 Azure AD)支持强制身份验证以响应
AuthnRequest
的 ForceAuthn=True
语句,并不意味着 Slack 和 Zoom 等服务提供商将 ForceAuthn
控件暴露给他们客户组织管理员。您的示例服务提供商都没有为 SP-init 提供它。您需要向相应的公司提交功能请求。他们可能已经有您的组织可以附加的请求。请务必向他们提供提供此服务的商业案例。
也就是说,这两个示例组织也支持身份提供商发起的 SAML,这将允许您完全控制整个身份验证体验(仅会轻微损失身份验证功能)。
如果我发现自己处于与您相同的位置,我可能会问一些事情: