我们正在使用自定义身份验证源运行simpleSAMLphp IDP,但现在面临的挑战是添加对多因素身份验证(MFA,也就是双因素身份验证或两步验证)的支持。我已经开始尝试在同一个自定义Auth Source中实现MFA支持,但它似乎更复杂,更耦合,而不是必要的。实施双因素认证安全吗?在simpleSAMLphp中作为Auth Proc,还是应该使用Auth Source?
此外,我注意到一个simpleSAMLphp模块(aidan-/SimpleTOTP)使用Auth Proc来实现MFA。
然而,the simpleSAMLphp page on Auth Procs说,这是“不neccessarily个好主意”,以实现类似的访问控制在验证PROC,而不是鼓励使用验证特效的东西像从用户获得同意或搞乱与用户属性是将被退回给SP。
所以问题是,simpleSAMLphp的设计是否安全(足够)使用Auth Proc来处理登录的MFA部分(在Auth Source已验证用户名和密码之后),还是存在简单的方法,用户可以简单地绕过MFA部分,并已经在IDP上有一个活动的会话?
编辑:另一个MFA相关模块(simplesamlphp/simplesamlphp-module-yubikey)也实现为验证PROC,因此这似乎是去一个安全的方式,但我爱的人谁真正知道这是否是听到打算使用simpleSAMLphp方式。
所以,只要我们处理删除孤立的会话,你会认为一个Auth Proc会是一个可接受的方式来做到这一点? [Jaime的评论](https://groups.google.com/d/msg/simplesamlphp/ocQols0NCZ8/RL_WAcryBwAJ)在您所关联的讨论中似乎也支持认为Auth Procs是实现MFA的可接受位置的观点,即I找到鼓励。 – matt
这是我的理解,但它可能不正确。我们用Yubikey和Google Authenticator开发了一个类似的AuthProc过滤器(用于我们的客户端),到目前为止没有任何问题。 – libregeek