Pergunta para nós: O IdP transmite ao SP a informação de se o usuário realizou ou não a MFA?
Estou pensando em um mecanismo análogo ao U2F / FIDO — o programa pode solicitar uma atestação do dispositivo sobre o nível de interação do usuário esperado ou necessário para a credencial.
Se o Discourse ID… ou, de forma semelhante, qualquer outro IdP (SAML? oAuth2? OIDC?) transmitir essa informação ao SP, seria uma informação que poderíamos potencialmente utilizar.
Caso contrário, ficamos meio presos na necessidade de implementar a MFA após o login federado para obter essa garantia.