Frage an uns: Gibt der Identitätsanbieter (IdP) die Information darüber, ob der Benutzer eine Multi-Faktor-Authentifizierung (MFA) durchgeführt hat, an den Diensteanbieter (SP) weiter?
Ich denke an einen analogen Mechanismus zu U2F / FIDO – das Programm kann eine Bestätigung vom Gerät anfordern, wie hoch das erwartete bzw. erforderliche Maß an Benutzerinteraktion für die Zugangsdaten ist.
Wenn Discourse ID – oder ähnlich jeder andere IdP (SAML? OAuth2? OIDC?) – diese Information an den SP weitergibt, wäre dies ein Informationselement, das wir potenziell nutzen könnten.
Wenn nicht, sind wir sozusagen darauf angewiesen, die MFA nach der federierten Anmeldung zu implementieren, um diese Garantie zu erhalten.