이중 인증 auth를 구현하는 것이 안전합니까? Auth Proc로 simpleSAMLphp에서 또는 Auth Source를 사용해야합니까?

Question

사용자 정의 Auth Source를 사용하여 simpleSAMLphp IDP를 실행하고 있지만 이제는 다중 요소 인증 (MFA, 2 단계 인증 또는 2 단계 인증)에 대한 지원을 추가하는 것이 좋습니다. 동일한 사용자 정의 Auth Source 내에서 MFA 지원을 구현하기 시작했지만 필요 이상으로 더 복잡하고 복잡해 보입니다.

또한, Auth Proc을 사용하여 MFA를 구현하는 simpleSAMLphp 모듈 (aidan-/SimpleTOTP)을 발견했습니다.

그러나 the simpleSAMLphp page on Auth Procs은 Auth Proc에서 액세스 제어와 같은 것을 구현하는 대신 "Auth Procs가 사용자 동의를 얻거나 사용자 속성을 사용하는 것과 같은 것에 사용될 것을 권장하는 것은 좋은 생각은 아닙니다"라고 말합니다. SP에 반환됩니다.

simpleSAMLphp의 디자인은 Auth Proc를 사용하여 Auth Proc를 사용하여 로그인의 MFA 부분 (Auth Source가 이미 사용자 이름과 비밀번호를 확인한 후)을 처리하거나, 사용자가 단순히 MFA 부분을 우회하여 이미 IDP에서 활성 세션을 가질 수있는 쉬운 방법?

편집 :이 갈 안전한 방법이 될 것 같다, 그래서 또 다른 MFA 관련 모듈 (simplesamlphp/simplesamlphp-module-yubikey)는 또한, 인증 PROC로 구현됩니다 만, 사실 이것은을인지 아는 사람으로부터 듣고 싶어요 way simpleSAMLphp는 사용하기위한 것입니다.

Answer 1

, 나는 내 자신의 질문에 대답하는거야 : SimpleSAMLphp 메일 링리스트에 재미있는 토론이있다. (사이드 노트 : @ libregeek의 답변이 도움이되었지만, 그의 대답을 수락하면 나에게 효과가 있었던 것에 대해 독자들에게 오도가 생길 것입니다.)

기반 ...

• MFA에 사용 AuthProcs로서 구현 여러 다른 simpleSAMLphp 모듈의 존재
가 AuthProc으로 내 용액을 구현하고 모두가 원하는대로 작동하는지 확인하고
• 그 테스트를 갖는 @ libregeek의 대답에 연결된 discussion

... simpleSAMLphp AuthProc을 사용하여 MFA를 구현하는 것이 안전하다고 보입니다.

Answer 2

AuthProc은 SimpleSAMLphp에서 MFA를 구현하는 것은 좋지 않습니다. 문제는 MFA 유효성 검사가 실패하면 로그인 한 세션이 고아가된다는 것입니다.

가장 이상적인 접근 방법은 인증 플러그인을 개발하는 것이지만, 기존 인증 플러그인에서 기능을 포크 화해야 할 수도 있습니다.이 플러그인은 "바퀴를 새롭게 만드는 것"과 같은 것입니다. 여러 개의 authsources가있을 때 이것은 더욱 복잡해집니다.

또 다른 옵션은 SP에서 MFA를 수행하는 것이지만 문제는 우리가 사용하는 모든 SP에 대해 빌드해야한다는 것입니다. 또한 사용자 친화적 인 옵션이 아닐 수도 있습니다.

AuthProc 필터를 개발하는 것은 기존의 많은 요소를 재사용 할 수 있으므로 개발자 입장에서 볼 때 가장 쉬운 옵션 일 수 있습니다.

AFAIK, SimpleSAMLphp에는 로그인의 MFA 부분을 처리하기위한 AuthProc의 안전 장치가 없습니다. 그러나, 나는 로그인 한 사용자가 AuthProc 필터를 우회하는 쉬운 방법이 있다고 생각하지 않습니다.

편집 일 : 허용 대답하지 않고이 문제를 떠나 방지하기 위해 https://groups.google.com/forum/#!topic/simplesamlphp/ocQols0NCZ8