1
OpenID Connect Implicit Client specificationは、暗黙のクライアントSHOULD
のオプションのprompt=login
パラメータ値がエンドユーザに再認証を促すことを示します。OpenID Connectプロンプトパラメータ:SHOULDと対称であるべきです。
は、次のいずれかのSHOULD
を解釈するための正しい方法です:SHOULD
要件を満たす
prompt=login
実装は、例えば、適切なときに再認証するようにユーザーに促し必要がありますがありません特定の状況でアクティブなセッションがないところで再認証するようにユーザーに指示しますが、ユーザーがアクティブなセッションを持っているときはプロンプトを表示しません。prompt=login
SHOULD
要件を満たす実装MUST
再認証を求めるユーザー。常に認証する
SHOULD
要件を実装するための正しい方法は、#2のオプションは、上記の場合、どのように1は、ユーザーが唯一のセッションが期限切れになった場合に認証するように指示された状況に対処しますか? prompt
パラメータを省略することはできますか?
Microsoft Azure、Okta、およびSalesforceの実装では、再認証にMUST
を使用します。
参考文献:
- OpenID:認証サーバーは再認証のためのエンドユーザーを促すメッセージが表示されます。エンドユーザーを再認証できない場合は、通常はlogin_requiredというエラーを返します。
- MS Azure:
prompt=login
は、ユーザーがその要求で資格情報を入力してシングルサインオンを無効にすることを強制します。 - Okta:noneまたはloginのどちらでもかまいません。この値は、Oktaが(必要であれば)認証を求めないようにするか、または(ユーザが既存のセッションを持っていても)プロンプトを強制するべきかどうかを決定します。デフォルト:デフォルトの動作は、既存のOktaセッションがあるかどうかに基づいています。
- Salesforce:認証サーバーはユーザーに再認証を要求し、ユーザーに再度ログインさせる必要があります。セッションの有効期限が切れたときに資格情報を求めるためにアイデンティティプロバイダを強制的にサインイン時にご希望のセッション期間にmax_ageのを設定しopenid spec
で定義されているよう