Aktuell ist es zwar möglich über "Autologin" ein passwortloses Login zu erlauben. Doch weiterhin ist es möglich über Benutzername und Passwort sich anzumelden. Bei einem reinen SSO sollte das nicht möglich sein.

Es sollte nicht möglich sein, dass der Benutzer sich mit einem anderen User anmelden kann, als mit seinem am Device angemeldeten Benutzer.

Eine andere Lösung wäre auch, dass der 2FA nur bei manuellem Login abgefragt wird (nicht bei Autologin).