SSO 和多重身份验证

Question

我感兴趣的是如何使用 SiteMinder 和 OpenSSO 管理以下场景（

给定两个 Web 应用程序），并强制在它们之间使用 SSO。应用程序 A 是一个简单的应用程序，仅需要用户名/密码组合。应用程序 B 需要多重身份验证。

我们应该如何管理两个应用程序之间的不同身份验证级别？有没有办法在像 SiteMinder 这样的工具中表达这一点，以便用户在登录应用程序 A 时可以被分配“基本身份验证级别”，但如果他们访问应用程序 B，他们将面临第二个因素的挑战？

我的直觉是，第二个因素需要在 SiteMinder 级别进行管理，因为应用程序 B 位于其后面，从其角度来看，身份验证是由应用程序服务器/SSO 管理器强制执行的二元决策：即应用程序被“告知” “用户是否经过身份验证......应用程序 B 将无法控制用户所拥有的身份验证级别。

SiteMinder 是否管理这种不同级别的身份验证的想法，是否可以用 SAML 来表达？

我本以为这是一种常见的模式，但我似乎找不到任何有关配置、最佳实践等的文档。

提前致谢，

Fintan

Answer 1

这是 SiteMinder 绝对可以做到的事情。有时它被称为“逐步身份验证” - 这基本上意味着在需要时使用更强的身份验证形式对用户进行身份验证。

它应该由 SiteMinder 的策略引擎集中控制。其他 Web 访问管理产品也有类似的方法。

当您谈论联合域外的应用程序时，SAML 可能会发挥作用。在 SAML 中，您可以指定 AuthnContext，向其他方指示需要/已执行的身份验证级别。

Answer 2

SiteMinder 中满足此要求的功能似乎是分配给每个领域的保护级别。这可用于模拟额外的授权级别，具体取决于您最初进行身份验证的方式/地点。至少这是我设计解决方案的方式。