SSO中的显式验证

Question

场景： 我们在云上部署了一个Web应用程序。此应用程序使用客户端的SSO（Idp启动）设置。事情工作正常。用户一旦登录到他们的公司网络，就可以使用我们的应用程序而不需要输入他们的凭证。

SSO的理解： SSO的目的是集中管理的身份，对每一个企业应用程序以证书作为输入，对用户进行认证。这会导致信任，因为用户不会输入使用应用程序的用户名/密码。

注关于电子签名： 这，不要被数字签名混淆。这是Pharma域名软件的非常关键的要求。如果用户正在执行一些重要的动作，例如批准等等，那么她必须在可以执行该动作之前明确地输入她的凭证，即使当用户已经登录并且有会话时也是如此。这样做的目的是防止滥用开放式终端。

问题： SSO的下一个应用程序，是没有任何方法，明确的认证所要求的电子签名？

请注意，我们的应用程序可以始终发送一个SAML请求来检查用户是否被授权，但它发生时没有密码，也没有明确的认证。

Answer 1

你问ForceAuthn（第49页，行2042）：

ForceAuthn [可选]： 一个布尔值。如果是“真”，身份提供者必​​须直接验证演示者，而不是依赖先前的安全上下文。如果未提供值，则默认值为“false”。但是，如果ForceAuthn和IsPassive都是“真实”的，那么身份提供者不得重新认证演示者，除非可以满足IsPassive的约束条件。