SSOと多要素認証

Question

。 App Aは、ユーザー名とパスワードの組み合わせのみを必要とする単純なアプリケーションです。 App Bにはマルチファクタ認証が必要です。

2つのアプリケーション間で異なる認証レベルをどのように管理する必要がありますか？ SiteMinderのようなツールでこれを表現する方法があるので、ユーザーはApp Aにサインインすると「基本認証レベル」を割り当てることができますが、App Bにヒットした場合、第2の要因に挑戦されますか？

私の本能は、AppBがその背後にあり、App Server/SSOマネージャによって強制されるバイナリ決定であるという視点から、SiteMinderレベルで第2の要素を管理する必要があるということです。アプリケーションは、ユーザーが認証されているかどうかを "伝え"ています。アプリケーションBは、ユーザーが持っている認証レベルでは扱いません。

SiteMinderは、さまざまな認証レベルの考え方を管理していますか？それはおそらくSAMLで表現できるものでしょうか？

これがあるなど、事前に

おかげで、

Fintan

Answer 1

を、私はこれが発生する一般的なパターンであると思っているだろうが、私は設定上の任意のドキュメントを見つけることができないよう、ベストプラクティスSiteMinderが間違いなく行うことができるもの。時には、これは「ステップアップ認証」と呼ばれます。基本的には、必要なときに強力な認証形式でユーザーを認証することを意味します。

SiteMinderのポリシーエンジンによって一元管理される必要があります。他のWeb Access Management製品も同様のアプローチを採用しています。

SAMLは、ドメイン外のアプリケーションにフェデレーションを話しているときに出現する可能性があります。 SAML内で、どの認証レベルが必要か/実行されているかを他の人に示すAuthnContextを指定できます。

Answer 2

この要件を満たすSiteMinderの機能は、各レルムに割り当てられた保護レベルであるようです。これは、あなたがもともと認証された方法/場所に依存する余分なレベルの認証をシミュレートするために使用できます。少なくともこれが私のソリューションの設計方法です。