我們正在使用自定義身份驗證源運行simpleSAMLphp IDP,但現在面臨的挑戰是添加對多因素身份驗證(MFA,也就是雙因素身份驗證或兩步驗證)的支持。我已經開始嘗試在同一個自定義Auth Source中實現MFA支持,但它似乎更復雜,更耦合,而不是必要的。實施雙因素認證安全嗎?在simpleSAMLphp中作爲Auth Proc,還是應該使用Auth Source?
此外,我注意到一個simpleSAMLphp模塊(aidan-/SimpleTOTP)使用Auth Proc來實現MFA。
然而,the simpleSAMLphp page on Auth Procs說,這是「不neccessarily個好主意」,以實現類似的訪問控制在驗證PROC,而不是鼓勵使用驗證特效的東西像從用戶獲得同意或搞亂與用戶屬性是將被退回給SP。
所以問題是,simpleSAMLphp的設計是否安全(足夠)使用Auth Proc來處理登錄的MFA部分(在Auth Source已驗證用戶名和密碼之後),還是存在簡單的方法,用戶可以簡單地繞過MFA部分,並已經在IDP上有一個活動的會話?
編輯:另一個MFA相關模塊(simplesamlphp/simplesamlphp-module-yubikey)也實現爲驗證PROC,因此這似乎是去一個安全的方式,但我愛的人誰真正知道這是否是聽到打算使用simpleSAMLphp方式。
所以,只要我們處理刪除孤立的會話,你會認爲一個Auth Proc會是一個可接受的方式來做到這一點? [Jaime的評論](https://groups.google.com/d/msg/simplesamlphp/ocQols0NCZ8/RL_WAcryBwAJ)在您所關聯的討論中似乎也支持認爲Auth Procs是實現MFA的可接受位置的觀點,即I找到鼓勵。 – matt
這是我的理解,但它可能不正確。我們用Yubikey和Google Authenticator開發了一個類似的AuthProc過濾器(用於我們的客戶端),到目前爲止沒有任何問題。 – libregeek