[Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan

Per‑Olof från Högskolan i Borås har delat med sig av de anpassningar som de har gjort för att tvinga MFA på olika sätt i mfa-authn-config. Jag har uppdaterat wiki-sidan[1] med exempel­koden. [1] https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec… Stort tack till Högskolan i Borås för bidraget! /Paul. -----Original Message----- From: Paul Scott &lt;paul.scott(a)kau.se&gt; To: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt; Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan Date: 28/11/25 13:39:39 Man kan nog göra mycket med MFA-flöden, men hittills har jag bara skrapat på ytan. Problemet med exemplet jag gav är att det endast fungerar om man vet att alla användare har möjlighet att skaffa MFA. Därför skulle det inte vara särskilt populärt för oss just nu att aktivera det på exempelvis Canvas! Jag funderar på vad nästa steg kan vara för mitt lärosäte. Kanske borde man undersöka en logik baserad på om användaren har MFA konfigurerad (via attributuppslagning) och i så fall använda det. Detta i kombination med att vissa tjänster fortsätter att kräva MFA via relying-party. Följande exempel kan man nog bygga vidare på: https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFac… Jag är dock inte säker på hur man på ett bra sätt kan använda listor i MFA-logiken – kanske går det att göra uppslag baserat på LDAP- grupper? /Paul. -----Original Message----- From: Simon Lundström &lt;simlu(a)su.se&gt; To: Paul Scott &lt;paul.scott(a)kau.se&gt; Cc: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt; Subject: Re: [Saml-admins] Konfigurera obligatorisk MFA på IdP-sidan Date: 27/11/25 16:08:45 Tack Paul! Nu vill jag inte låta otacksam men går det inte att göra från MFA flow confen? För om man t.ex. vill lägga till: * För alla SP entityIDs i lista X OCH * användaren kommer från en IP som INTE är i lista Y så behöver MFA användas. MVH - Simon On Thu, 2025-11-27 at 15:44:11 +0100, Paul Scott wrote: > Hej! > > Jag lovade att ta fram ett exempel på hur man kan kräva REFEDS MFA > för > en SP från IdP-sidan med hjälp av relying-party.xml. > > Nu finns exemplet på Swamids wiki under SAML IdP Best Current > Practice > eller direkt via: > > > https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec… > > > /Paul. > > -- > Paul Scott > Systemutvecklare | Systems developer > > KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY > SE-651 88 Karlstad Sweden > Tel: +46 54 700 23 07 > www.kau.se > När du skickar e-post till Karlstads universitet behandlar vi dina > personuppgifter<https://www.kau.se/gdpr>. > When you send an e-mail to Karlstad University, we will process > your > personal data<https://www.kau.se/en/gdpr>. > _______________________________________________ > Saml-admins mailing list -- saml-admins(a)lists.sunet.se > To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se -- Paul Scott Systemutvecklare | Systems developer KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY SE-651 88 Karlstad Sweden Tel: +46 54 700 23 07 www.kau.se När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>. When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>. _______________________________________________ Saml-admins mailing list -- saml-admins(a)lists.sunet.se To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se -- Paul Scott Systemutvecklare | Systems developer KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY SE-651 88 Karlstad Sweden Tel: +46 54 700 23 07 www.kau.se När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>. When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>. _______________________________________________ Saml-admins mailing list -- saml-admins(a)lists.sunet.se To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se