Pregunta para nosotros: ¿El IdP transmite la información sobre si el usuario realizó o no la autenticación multifactor (MFA) al SP?
Estoy pensando en un mecanismo análogo a U2F / FIDO: el programa puede solicitar una atestación del dispositivo sobre el nivel de interacción del usuario esperado o requerido para la credencial.
Si Discourse ID… o cualquier otro IdP (¿SAML? ¿oAuth2? ¿OIDC?) transmite esta información al SP, sería un dato que podríamos utilizar potencialmente.
Si no es así, nos vemos obligados a implementar MFA después del inicio de sesión federado para obtener esta garantía.