Buonasera,
dalle mie esigue esperienze su SPID mi sono reso conto che non tutti i fornitori di identità (IdP) della federazione SPID supportano L2 come Authentication Context Class Reference (ACR).
quest’ultima può essere https://www.spid.gov.it/SpidL1 L2 o L3, di fatto per abilitare una multifactor authentication (MFA) avremmo bisogno di chiedere almeno L2.
I livelli superiori a L1 implicano in aggiunta che anche force authn debba essere True.
Mi sono reso conto che anche impostanto la ACR a L1 e force authn = True di fatto gli Idp, come posteitaliane, semplicemente ignorano force authn, riproponendo la precedente sessione come attiva senza forzare l’autentica come esplicitamente chiesto nella AuhtnRequest dell’SP.