SSO 和多因素身份驗證

Question

我對如何使用 SiteMinder 和 OpenSSO 管理以下場景感興趣

給定兩個 web 應用程序，並要求在它們之間使用 SSO。 App A 是一個簡單的應用程序，只需要用戶名/密碼組合。 應用 B 需要多重身份驗證。

我們應該如何管理跨兩個應用程序的不同身份驗證級別？ 有沒有辦法在 SiteMinder 等工具中表達這一點，因此如果用戶登錄 App A，則可以為其分配“基本身份驗證級別”，但如果他們點擊 App B，他們將面臨第二個因素的挑戰？

我的直覺是，第二個因素需要在 SiteMinder 級別進行管理，因為 App B 位於其后面，從它的角度來看，身份驗證是由 App Server / SSO 管理器強制執行的二元決策：即應用程序被“告知” " 用戶是否經過身份驗證....App B 不會處理用戶擁有的身份驗證級別。

SiteMinder 是否管理這種不同級別的身份驗證的想法，它是否可以用 SAML 來表達？

我原以為這是一種常見的模式，但我似乎找不到任何關於配置、最佳實踐等的文檔。

提前致謝，

芬坦

Answer 1

這是 SiteMinder 絕對可以做到的。 有時它被稱為“逐步驗證” - 這基本上意味着在需要時使用更強大的身份驗證形式對用戶進行身份驗證。

它應該由 SiteMinder 的策略引擎集中控制。 其他 Web 訪問管理產品也有類似的方法。

當您談論與域外的應用程序聯合時，SAML 可能會發揮作用。 在 SAML 中，您可以指定一個 AuthnContext，它向其他方指示需要/已執行的身份驗證級別。

Answer 2

SiteMinder 中滿足此要求的功能似乎是分配給每個 Realm 的保護級別。 這可用於模擬取決於您最初身份驗證的方式/位置的額外授權級別。 至少我是這樣設計我們的解決方案的。