
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoPlainText, li.MsoPlainText, div.MsoPlainText


        {mso-style-priority:99;


        mso-style-link:"Plain Text Char";


        margin:0in;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle17


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.PlainTextChar


        {mso-style-name:"Plain Text Char";


        mso-style-priority:99;


        mso-style-link:"Plain Text";


        font-family:"Calibri",sans-serif;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:12.0pt;


        font-family:"Calibri",sans-serif;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">


<div class="WordSection1">


<p class="MsoPlainText">> How could the SP know which is which when it doesn't know who the user is before they've already


<o:p></o:p></p>


<p class="MsoPlainText">> logged in? That doesn't really work. Those kinds of rules are handled by the IdP generally.<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">I think when we did it in our legacy SSO, we used two methods:<o:p></o:p></p>


<p class="MsoPlainText">1) the SP-analog can say as part of the initial request: "if the user is in one of the following AD groups, do two factor."<o:p></o:p></p>


<p class="MsoPlainText">2) do two trips. The first trip does a default AuthnContextClassRef-analog login to get the username/attributes, then looks at those. if it decides it needs MFA, it would then do a second trip during which the IDP-analog prompts for


 the second factor.<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">(1) might be ruled out by the semantics of what's available in the protocol, but it seems like (2) might be possible?<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">With that said, it's fine to do it on the IDP side. Could we do that for this robot if we wanted to?<o:p></o:p></p>


<p class="MsoPlainText"><o:p> </o:p></p>


<p class="MsoPlainText">Thank you,<o:p></o:p></p>


<p class="MsoPlainText">Jerry<o:p></o:p></p>


</div>


</body>


</html>