Här är en sida där det är lättare att trigga SAML-flaggan forceAuthn vid inloggning än att gå via attesteringen i Ladok:

https://www.test.ladok.se/forceauthn-test/

Den första länken efter inloggning gör en "återautentisering" utan krav på MFA.

Nån typ av konfiguration i IdP:n är det. Jag vet dock inte vad.

/Fredrik

Fredrik Domeij
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil:   +46 (0)70 303 78 36
----------------------------------
fredrik.domeij@umu.se
www.umu.se/it-stod-och-systemutveckling

Från: Jonny Ehrnberg <Jonny.Ehrnberg@oru.se>
Skickat: den 8 februari 2023 11:30
Till: saml-admins@swamid.se <saml-admins@swamid.se>
Ämne: [Saml-admins] Problem med re-authentication efter byte av IdP
 
Hej alla.

Vi håller på och byter ut vår Shibboleth-IdP och går från version 3.4.4 till 4.1.4 och allting ser ut att fungera bra förutom re-authentication vid attestering i Ladok.
Man möts av följande felmeddelande när man klickar på OK för att komma till vår IdP för en andra inloggning:



Utdrag ur idp-process.log:
2023-02-08 09:57:39,364 - 176.71.252.232 - INFO [net.shibboleth.idp.authn.impl.FilterFlowsByForcedAuthn:86] - Profile Action FilterFlowsByForcedAuthn: No potential authentication flows remain after filtering
2023-02-08 09:57:39,365 - 176.71.252.232 - INFO [net.shibboleth.idp.authn.impl.SelectAuthenticationFlow:455] - Profile Action SelectAuthenticationFlow: None of the potential authentication flows can satisfy the request
2023-02-08 09:57:39,366 - 176.71.252.232 - WARN [org.opensaml.profile.action.impl.LogEvent:101] - A non-proceed event occurred while processing the request: RequestUnsupported
2023-02-08 09:57:39,385 - 176.71.252.232 - INFO [Shibboleth-Audit.SSO:283] - 176.71.252.232|2023-02-08T09:57:39.341515Z|2023-02-08T09:57:39.385863Z||https://www.test.ladok.se/gui-sp||||||||false||Redirect|POST||Requester|urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext||Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:108.0) Gecko/20100101 Firefox/108.0


Är det någon som har stött på någonting liknande i version 4.1+ av Shibboleth-IdP eller har idéer om hur man skulle kunna lösa problemet?

Vi signalerar inte att vi supportar MFA, varken i den nya eller den gamla IdP:n.



Med vänliga hälsningar
Jonny Ehrnberg
IT-arkitekt
Avdelningen för digitalisering och IT
Örebro universitet