[Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan

Hej. Så som många har löst det så kräver man bara kräver en andra faktor om det krävs från SP:n eller om SP:n pushas till MFA via konfig i IdP:n enligt den andra tråden. Har inloggningen genomförts med 2 faktorer signalerar man AL3 för de som är verifierade för detta. Har enbart en faktor används signalerar man AL2 även om kontot är verifierat på AL3. Dvs för att en SP skall få AL3 måste de aktivt kräva MFA vid inloggningen. // Björn M. > On 18 Mar 2026, at 07:19, Mats Luspa via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; wrote: > > Då måste man alltså om man är en AL3-organisation alltid köra med MFA för alla SP:ar men ändå ha optionen att falla tillbaka till lösenord för de som har max AL2 (det vill säga ej har någon andra faktor). Man skall väl inte heller göra det möjligt för en AL3-användare att kunna logga in med lösenord. Om en AL3-användare tappat bort sin andra faktor så måste denne kontakta en administratör för att kunna bli degradera till AL2 eller få en ny andra faktor. > Är detta rätt uppfattat? > > /Mats > > On 3/17/26 6:32 PM, Björn Mattsson via Saml-admins wrote: >> Hej. >> Ja det stämmer. En användare som ni klassat upp till AL3 som enbart loggar in med lösenord, då får ni MAX släppa AL2 i eduPersonAssurance. >> >> // Björn M. >> >>> On 17 Mar 2026, at 16:27, Mats Luspa via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; wrote: >>> >>> Hej! >>> >>> Stämmer det att användare som är AL3 alltid måste använda sig av MFA? Det vill säga så fort en sådan användare använder endast lösenord t ex för inloggning så degraderas denne till AL2. >>> >>> /MVH Mats >>> >>> On 3/17/26 1:08 PM, Mats Luspa wrote: >>>> Ok, tack, det var bara en beteckning på ett flow av dokumentationsskäl. Trodde att det var ett som existerade alltså. >>>> >>>> /MVH Mats >>>> >>>> On 3/17/26 12:27 PM, Paul Scott wrote: >>>>> Man kan skapa en bean och lägger den i global.xml, t.ex. >>>>> >>>>> <bean p:id="authn/secondFlow" parent="shibboleth.AuthenticationFlow" >>>>> p:passiveAuthenticationSupported="true" >>>>> p:forcedAuthenticationSupported="true"> >>>>> <property name="supportedPrincipals"> >>>>> <list> >>>>> <bean >>>>> parent="shibboleth.SAML2AuthnContextClassRef" >>>>> c:classRef="https://refeds.org/profile/mfa" /> >>>>> </list> >>>>> </property> >>>>> </bean> >>>>> >>>>> /Paul. >>>>> >>>>> -----Original Message----- >>>>> From: Mats Luspa via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; >>>>> Reply-To: Mats Luspa &lt;mats.luspa(a)irf.se&gt; >>>>> To: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt; >>>>> Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan >>>>> Date: 17/03/26 12:21:21 >>>>> >>>>> Hej! >>>>> >>>>> Jag undrar var och hur man konfigurerar "authn/secondFlow". Det är ju >>>>> ingen standard "flow" vad jag vet. >>>>> >>>>> /MVH Mats >>>>> >>>>> On 2/13/26 9:14 AM, Paul Scott wrote: >>>>>> Per‑Olof från Högskolan i Borås har delat med sig av de anpassningar >>>>>> som de har gjort för att tvinga MFA på olika sätt i mfa-authn-config. >>>>>> Jag har uppdaterat wiki-sidan[1] med exempel­koden. >>>>>> >>>>>> [1] >>>>>> https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec… >>>>>> >>>>>> Stort tack till Högskolan i Borås för bidraget! >>>>>> >>>>>> /Paul. >>>>>> >>>>>> -----Original Message----- >>>>>> From: Paul Scott &lt;paul.scott(a)kau.se&gt; >>>>>> To: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt; >>>>>> Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan >>>>>> Date: 28/11/25 13:39:39 >>>>>> >>>>>> >>>>>> Man kan nog göra mycket med MFA-flöden, men hittills har jag bara >>>>>> skrapat på ytan. >>>>>> >>>>>> Problemet med exemplet jag gav är att det endast fungerar om man vet >>>>>> att alla användare har möjlighet att skaffa MFA. Därför skulle det >>>>>> inte >>>>>> vara särskilt populärt för oss just nu att aktivera det på exempelvis >>>>>> Canvas! >>>>>> >>>>>> Jag funderar på vad nästa steg kan vara för mitt lärosäte. Kanske >>>>>> borde >>>>>> man undersöka en logik baserad på om användaren har MFA konfigurerad >>>>>> (via attributuppslagning) och i så fall använda det. Detta i >>>>>> kombination med att vissa tjänster fortsätter att kräva MFA via >>>>>> relying-party. Följande exempel kan man nog bygga vidare på: >>>>>> >>>>>> https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFac… >>>>>> >>>>>> Jag är dock inte säker på hur man på ett bra sätt kan använda listor >>>>>> i >>>>>> MFA-logiken – kanske går det att göra uppslag baserat på LDAP- >>>>>> grupper? >>>>>> >>>>>> /Paul. >>>>>> >>>>>> -----Original Message----- >>>>>> From: Simon Lundström &lt;simlu(a)su.se&gt; >>>>>> To: Paul Scott &lt;paul.scott(a)kau.se&gt; >>>>>> Cc: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt; >>>>>> Subject: Re: [Saml-admins] Konfigurera obligatorisk MFA på IdP-sidan >>>>>> Date: 27/11/25 16:08:45 >>>>>> >>>>>> Tack Paul! >>>>>> >>>>>> Nu vill jag inte låta otacksam men går det inte att göra från MFA >>>>>> flow >>>>>> confen? >>>>>> >>>>>> För om man t.ex. vill lägga till: >>>>>> * För alla SP entityIDs i lista X >>>>>> OCH >>>>>> * användaren kommer från en IP som INTE är i lista Y >>>>>> >>>>>> så behöver MFA användas. >>>>>> >>>>>> MVH >>>>>> - Simon >>>>>> >>>>>> On Thu, 2025-11-27 at 15:44:11 +0100, Paul Scott wrote: >>>>>>> Hej! >>>>>>> >>>>>>> Jag lovade att ta fram ett exempel på hur man kan kräva REFEDS MFA >>>>>>> för >>>>>>> en SP från IdP-sidan med hjälp av relying-party.xml. >>>>>>> >>>>>>> Nu finns exemplet på Swamids wiki under SAML IdP Best Current >>>>>>> Practice >>>>>>> eller direkt via: >>>>>>> >>>>>>> >>>>>>> https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec… >>>>>>> >>>>>>> >>>>>>> /Paul. >>>>>>> >>>>>>> -- >>>>>>> Paul Scott >>>>>>> Systemutvecklare | Systems developer >>>>>>> >>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY >>>>>>> SE-651 88 Karlstad Sweden >>>>>>> Tel: +46 54 700 23 07 >>>>>>> www.kau.se >>>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina >>>>>>> personuppgifter<https://www.kau.se/gdpr>. >>>>>>> When you send an e-mail to Karlstad University, we will process >>>>>>> your >>>>>>> personal data<https://www.kau.se/en/gdpr>. >>>>>>> _______________________________________________ >>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se >>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se >>>>>> -- >>>>>> Paul Scott >>>>>> Systemutvecklare | Systems developer >>>>>> >>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY >>>>>> SE-651 88 Karlstad Sweden >>>>>> Tel: +46 54 700 23 07 >>>>>> www.kau.se >>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina >>>>>> personuppgifter<https://www.kau.se/gdpr>. >>>>>> When you send an e-mail to Karlstad University, we will process your >>>>>> personal data<https://www.kau.se/en/gdpr>. >>>>>> _______________________________________________ >>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se >>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se >>>>>> >>>>>> -- >>>>>> Paul Scott >>>>>> Systemutvecklare | Systems developer >>>>>> >>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY >>>>>> SE-651 88 Karlstad Sweden >>>>>> Tel: +46 54 700 23 07 >>>>>> www.kau.se >>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina >>>>>> personuppgifter<https://www.kau.se/gdpr>. >>>>>> When you send an e-mail to Karlstad University, we will process your >>>>>> personal data<https://www.kau.se/en/gdpr>. >>>>>> _______________________________________________ >>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se >>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se >>>>> -- >>>>> -- >>>>> Mats Luspa >>>>> Phone: +46 (0)980 79 022 >>>>> Cellular phone: +46 (0)725813330 >>>>> Institutet för rymdfysik Fax: +46 (0)980 79 050 >>>>> Swedish Institute of Space Physics email: matsl(a)irf.se >>>>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna >>>>> Postal address: Box 812, SE-981 28 Kiruna >>>>> -- >>>>> PGP Public Key: https://www.irf.se/pgp/matsl >>>>> Digital vcard: https://www.irf.se/vcard/mats.luspa >>>>> >>>>> >>>>> -- >>>>> Paul Scott >>>>> Systemutvecklare | Systems developer >>>>> >>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY >>>>> SE-651 88 Karlstad Sweden >>>>> Tel: +46 54 700 23 07 >>>>> www.kau.se >>>>> När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>. >>>>> When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>. >>>>> _______________________________________________ >>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se >>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se >>> -- >>> -- >>> Mats Luspa >>> Phone: +46 (0)980 79 022 >>> Cellular phone: +46 (0)725813330 >>> Institutet för rymdfysik Fax: +46 (0)980 79 050 >>> Swedish Institute of Space Physics email: matsl(a)irf.se >>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna >>> Postal address: Box 812, SE-981 28 Kiruna >>> -- >>> PGP Public Key: https://www.irf.se/pgp/matsl >>> Digital vcard: https://www.irf.se/vcard/mats.luspa >>> >>> _______________________________________________ >>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se >>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se >> _______________________________________________ >> Saml-admins mailing list -- saml-admins(a)lists.sunet.se >> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se > -- > -- > Mats Luspa > Phone: +46 (0)980 79 022 > Cellular phone: +46 (0)725813330 > Institutet för rymdfysik Fax: +46 (0)980 79 050 > Swedish Institute of Space Physics email: matsl(a)irf.se > Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna > Postal address: Box 812, SE-981 28 Kiruna > -- > PGP Public Key: https://www.irf.se/pgp/matsl > Digital vcard: https://www.irf.se/vcard/mats.luspa > > _______________________________________________ > Saml-admins mailing list -- saml-admins(a)lists.sunet.se > To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se