민감 작업 시 추가 인증 요구. AMR·ACR claim.
평소 SSO로 충분하지만, 송금·비밀번호 변경 시 MFA 강제. OAuth acr_values·auth_time claim으로 구현.