SSO和多因素认证

Question

我感兴趣的是如何在以下情况下会使用SiteMinder和OpenSSO的

鉴于两个Web应用程序进行管理，并授权在它们之间使用SSO。应用程序A是一个简单的应用程序，只需要用户名/密码组合。应用程序B需要多因素认证。

我们应该如何管理两个应用程序之间不同的身份验证级别？有没有一种方法可以像SiteMinder这样的工具来表达，所以如果用户登录到应用程序A，用户可以被分配一个“基本身份验证级别”，但是如果他们碰到应用程序B，他们会受到第二个因素的挑战？

我的直觉是，第二个因素需要在SiteMinder级别进行管理，因为App B坐在它后面，从其角度来看，身份验证是由App Server/SSO管理器强制执行的二元决策：即应用程序被“告知”用户已被认证或不被认证....应用程序B不会处理用户所具有的认证级别。

SiteMinder是否可以管理这种不同认证级别的想法，它可以用SAML表达吗？

我还以为这是产生了一个共同的模式，但我似乎无法找到的配置，最佳实践等

在此先感谢任何文件，

Fintan

Answer 1

这是SiteMinder绝对可以做的事情。有时它被称为“升级身份验证” - 这基本上意味着在需要时用更强的身份验证方式验证用户身份。

它应该由SiteMinder的策略引擎集中控制。其他Web访问管理产品也有类似的方法。

当您谈论联盟到您的域之外的应用程序时，SAML可能会发挥作用。在SAML中，您可以指定一个AuthnContext，它向另一方指示需要/已经执行了哪些认证级别。

Answer 2

SiteMinder似乎满足这一要求的功能是分配给每个域的保护级别。这可以用来模拟额外的授权级别，这取决于您最初验证的方式/位置。至少这是我设计我们的解决方案的方式。