...
I REFEDS Assurance Framework finns inget krav på att en identitetsutgivare granskas innan de får använda tillitssignalering och därför går det inte att i metadata se vad en identitetsutgivare är godkänd för men användarens uppgivna tillitsnivå finns i attributet eduPersonAssurance.
Särskilda
...
autentisieringskrav i inloggningsbegäran
...
- Om multifaktorinloggning krävs: Begär att multifaktorinloggning används genom att i attributet RequestedAuthnContext ange värdet https://refeds.org/profile/mfa i Authentication Request.
- Om Single Sign-On inte får användas: Begär att ny inloggning används genom att i attributet ForceAuthn ange värdet true i Authentication Request.
- För att åsidosättande av Single Sign-On ska fungera korrekt måste alla godkända inloggningsmetoder vara definierade i attributet RequestedAuthnContext, t.ex. https://refeds.org/profile/mfa, https://refeds.org/profile/sfa och urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport för både multifaktor- och singelfaktorinloggning. Vissa identitetsutgivarprogramvaror kan luta sig tillbaka på operativsysteminloggningen om det inte explicit pekas ut vilka inloggningsmetoder som är godkända.
...