这是与一般 SSO best-practices 上的这个问题类似的内容。处理禁用或出于任何原因无法访问的中央身份提供者的最佳方法是什么。如果您的网站允许用户使用他们集中存储的凭据登录,而中央服务不工作或无法访问,您是否:
允许用户在本地站点上重新输入他们的凭据,以便他们可以使用 Web 应用程序(或内容管理系统或其他)的本机登录设施
允许用户请求他们可以在 Web 应用程序本身上使用的另一组辅助凭据(即,当 IDP 关闭时他们可以使用的单独密码)[注意:显然这违背了“单一凭据”的目标,只是抛弃了所有想法]。
允许用户使用相同凭据的多个不同维护者中的任何一个登录(通过向他们提供多个链接到多个提供者,然后尝试每个链接,直到其中一个真正连接并工作)
出于可能显而易见的原因,上述这些解决方案似乎都没有吸引力,因此在您使用最佳替代方法回答时,请随意将它们放在“最差实践”列表中。