Question pour nous : le fournisseur d’identité (IdP) transmet-il au fournisseur de service (SP) l’information indiquant si l’utilisateur a effectué une authentification multifacteur (MFA) ou non ?
Je pense au mécanisme analogue à U2F / FIDO : le programme peut demander une attestation de la part de l’appareil concernant le niveau d’interaction utilisateur attendu ou requis pour l’identifiant.
Si Discourse ID… ou tout autre IdP (SAML ? oAuth2 ? OIDC ?) transmet cette information au SP, cela constituerait une donnée que nous pourrions potentiellement exploiter.
Dans le cas contraire, nous serions contraints d’implémenter la MFA après la connexion fédérée pour obtenir cette garantie.