Documentación de Oracle Cloud Infrastructure

Activación de una nueva autenticación forzada

Para forzar a un usuario a volver a autenticarse al acceder a una aplicación, incluso si hay disponible una sesión de OCI IAM válida, defina forceReauthenticateAfterInMinutes mediante el punto final de la API de REST.

Nota

Para activar esta funcionalidad, se debe activar la función access.sso.session.max.age.

OCI IAM mantiene el atributo forceReauthenticateAfterInMinutes en el nivel de aplicación. Cuando una aplicación realiza una solicitud de autenticación en OCI IAM, el servicio evalúa si la duración del tiempo desde la última autenticación ha superado el valor definido en el atributo forceReauthenticateAfterInMinutes para esa aplicación. Si es así, OCI IAM obliga al usuario a volver a autenticarse. Por defecto, el valor es NULL y no se aplica la nueva autenticación.

Valores posibles para este atributo:

  • NULL (valor por defecto): no se vuelve a autenticar

  • -1: No hay ninguna nueva autenticación

  • 0 a 32767: duración en minutos después de la cual se fuerza a un usuario a volver a autenticarse.

Si se autentica con proveedores de identidad externos, OCI IAM intenta aplicar la nueva autenticación en IdPs externo.

  • Para OIDC, OCI IAM transfiere el atributo max_age en la solicitud /authorize.
  • Para SAML, según AuthNInstant devuelto en la respuesta de SAML por el proveedor de identidad externo, OCI IAM envía una segunda solicitud de SAML a IdP con ForceAuthn=true.

El valor de atributo max_age recibido en la solicitud tiene prioridad sobre el valor forceReauthenticateAfterInMinutes configurado en el nivel de aplicación, pero el protocolo max_age se debe implantar correctamente para que funcione. Por ejemplo, si IdP no devuelve id_token o incluye auth_time en id_token, el protocolo max_age no funcionará y la aplicación devolverá un error al intentar conectarse. Google y Facebook son ejemplos de proveedores de identidad que no han implementado el protocolo max_age correctamente a partir de ahora.

Nota

Cuando OCI IAM está federado en un proveedor de identidad externo, OCI IAM no puede garantizar si un usuario está obligado a volver a autenticarse mediante un proveedor de identidad externo. El comportamiento depende de cómo se implementen los protocolos OIDC/SAML en el proveedor de identidad externo.
Curl para actualizar el atributo forceReauthenticateAfterInMinutes en la aplicación.

curl --location --request PATCH 'https://{{IDCS_HOST}}/admin/v1/Apps/{{APP_ID}}' --header 'X-RESOURCE-IDENTITY-DOMAIN-NAME: tenantsp' --header 'Authorization: Bearer {{IDENTITY_DOMAIN_ADMINSTRATOR_TOKEN}}' --header 'Content-Type: application/json' --data-raw '{
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
        {
            "op": "add",
            "path": "forceReauthenticateAfterInMinutes",
            "value": {{value}}
        }
    ]
}'