Documentación de Oracle Cloud Infrastructure

Activación de la Reautenticación Forzada

Para forzar a un usuario a volver a autenticarse al acceder a una aplicación, incluso si hay disponible una sesión de OCI IAM válida, defina forceReauthenticateAfterInMinutes mediante el punto final de la API de REST.

Nota

Para activar esta funcionalidad, se debe activar la función access.sso.session.max.age.

OCI IAM mantiene el atributo forceReauthenticateAfterInMinutes en el nivel de aplicación. Cuando una aplicación realiza una solicitud de autenticación a OCI IAM, el servicio evalúa si la duración del tiempo desde la última autenticación ha excedido el valor definido en el atributo forceReauthenticateAfterInMinutes para esa aplicación. Si es así, OCI IAM fuerza al usuario a volver a autenticarse. Por defecto, el valor es NULL y no se aplica la reautenticación.

Valores posibles para este atributo:

  • NULL (valor por defecto): sin reautenticación

  • -1: sin reautenticación

  • 0 a 32767: duración en minutos después de la cual se fuerza a un usuario a volver a autenticarse

Si se autentica con proveedores de identidad externos, OCI IAM intenta aplicar la nueva autenticación en IdPs externo.

  • Para OIDC, OCI IAM transfiere el atributo max_age en la solicitud /authorize.
  • Para SAML, en función de AuthNInstant devuelto en la respuesta SAML por el proveedor de identidad externo, OCI IAM envía una segunda solicitud SAML a IdP con ForceAuthn=true.

El valor de atributo max_age recibido en la solicitud tiene prioridad sobre el valor forceReauthenticateAfterInMinutes configurado en el nivel de aplicación, pero el protocolo max_age se debe implantar correctamente para que funcione. Por ejemplo, si IdP no devuelve id_token o incluye auth_time en id_token, el protocolo max_age no funcionará y la aplicación devolverá un error al intentar conectarse. Google y Facebook son ejemplos de proveedores de identidad que no han implementado correctamente el protocolo max_age a partir de ahora.

Nota

Cuando OCI IAM está federado en un proveedor de identidad externo, OCI IAM no puede garantizar si un usuario se ve obligado a volver a autenticar por un proveedor de identidad externo. El comportamiento depende de cómo se implanten los protocolos OIDC/SAML en el proveedor de identidad externo.
Curl para actualizar el atributo forceReauthenticateAfterInMinutes en la aplicación.

curl --location --request PATCH 'https://{{IDCS_HOST}}/admin/v1/Apps/{{APP_ID}}' --header 'X-RESOURCE-IDENTITY-DOMAIN-NAME: tenantsp' --header 'Authorization: Bearer {{IDENTITY_DOMAIN_ADMINSTRATOR_TOKEN}}' --header 'Content-Type: application/json' --data-raw '{
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
        {
            "op": "add",
            "path": "forceReauthenticateAfterInMinutes",
            "value": {{value}}
        }
    ]
}'