Единый Вход Для Перехвата SAML
Я работаю над исследованием о каком-то новом использовании единого входа. В основном я пытаюсь найти способ перехватить запрос SAML, который отправляется от Поставщика услуг Поставщику удостоверений личности с помощью какого-либо прокси-сервера IdP или сторонней службы, которая будет содержать запрос SAML и предоставит пользователям некоторые дополнительные функции. Желаемый процесс может выглядеть следующим образом:
- Пользователь вызывает запрос SAML из SP - нажмите кнопку входа, например
- Пользователь перенаправляется на 3-й партийная служба, где, например, небольшой опрос (это теоретический пример)
- После отправки опроса пользователь перенаправляется на IdP и должен продолжить вход в систему
У меня довольно хороший опыт работы с SimpleSAMLphp и настройкой федерации. Но мои попытки найти какую-нибудь полезную информацию об этом виде перехвата не увенчались успехом. Я добавляю супер базовую картину решения.(пожалуйста, не смейтесь:))
Поддерживает ли SAML какой-либо вид этого обработка? Я открыт для обсуждения. Я также думал перехватить SAML после входа пользователя в IdP (для перенаправления с IdP на прокси-сервер службы 3-й части, а затем на SP)
Спасибо за советы и ваши мысли; надеюсь, это не совсем глупый вопрос
РЕДАКТИРОВАТЬ: Во время моего исследования я столкнулся с технологией/подходом, который называется прокси-сервером IDP. Как вы думаете, это осуществимо для моей цели? По сути, прокси-сервер SAML IdP - это мост или шлюз между федерацией ВПЛ SAML и федерацией SPS SAML. Подробнее об этом, например, здесь
1 answers
Я не думаю, что это возможно, это просто выходит за рамки протокола. ИП предоставляет услугу, IdP отвечает за аутентификацию пользователя. Похоже, что между ними нет места для стороннего сервиса.
Я предполагаю, что вы контролируете (по крайней мере) либо ИП, либо ВПЛ. Попробуйте провести свой опрос (или что-то еще) у поставщика, которого вы контролируете.
В качестве альтернативы вы можете попытаться реализовать свой собственный IdP, включая опрос (или что-то еще), в котором исходный IdP используется для идентификация.