<div dir="ltr"><div>I minimize 'mfa-authn-config.xml' to the bare minimum (shown below).</div><div><br></div><div>The  'checkSecondFactor' is not  being reached for ECP (works fine for browser).</div><div><br></div><div>The 'duo.properties' appear to be set as expected. Is there another piece I could have overlooked in my delirious state after an afternoon by the screen?<br></div><div><br></div><div><br></div><div><util:map id="shibboleth.authn.MFA.TransitionMap"><br>        <entry key=""><br>            <bean parent="shibboleth.authn.MFA.Transition" p:nextFlow="authn/Password" /><br>        </entry><br>        <br>        <entry key="authn/Password"><br>            <bean parent="shibboleth.authn.MFA.Transition" p:nextFlowStrategy-ref="checkSecondFactor" /><br>        </entry><br>    </util:map><br><br>    <!-- Example script to see if second factor is required. --><br>    <bean id="checkSecondFactor" parent="shibboleth.ContextFunctions.Scripted" factory-method="inlineScript"<br>        p:customObject-ref="shibboleth.AttributeResolverService"><br>        <constructor-arg><br>            <value><br>            <![CDATA[<br>                logger = Java.type("org.slf4j.LoggerFactory").getLogger("checkSecondFactor");<br>                <a href="http://logger.info">logger.info</a>('++++++++++++ ++++++++++++++++++++++  ++++++++++++++++');<br>                <a href="http://logger.info">logger.info</a>('++++++++++++ profileContext.getProfileId()  ++++++++++++++++' +profileContext.getProfileId());<br>                <a href="http://logger.info">logger.info</a>('++++++++++++  ++++++++++++++++');<br>                <a href="http://logger.info">logger.info</a>('++++++++++++ ++++++++++++++++++++++  ++++++++++++++++');<br>                nextFlow = "authn/Duo";<br>                nextFlow;  <br>            ]]><br>            </value><br>        </constructor-arg><br>    </bean></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 11 Feb 2020 at 18:11, Cantor, Scott <<a href="mailto:cantor.2@osu.edu">cantor.2@osu.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> Should "p:nonBrowserSupported="false"" -- be changed to "true" (I've<br>
> previously tried either -- but I may have messed up elsewhere). I have set up<br>
> duo.properties for the default 'idp.duo.nonbrowser.*' keys.<br>
<br>
It has to be true, self-evidently (ECP is not a browser), but it is absent (and true) by default on the MFA flow.<br>
<br>
It's false for Duo by default because you need to deploy a second integration of a different type in Duo to support non-browser AuthAPI use.<br>
<br>
-- Scott<br>
<br>
-- <br>
For Consortium Member technical support, see <a href="https://wiki.shibboleth.net/confluence/x/coFAAg" rel="noreferrer" target="_blank">https://wiki.shibboleth.net/confluence/x/coFAAg</a><br>
To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net" target="_blank">users-unsubscribe@shibboleth.net</a><br>
</blockquote></div>