问题描述
我使用mod_mellon已有几年了,将它与simplesamlPHP结合用作idp。这种组合为几个子域提供了SSO。
我将privacyIdea用作第二个因素验证器,该方法很有效,但是我的用户现在必须在从一个子域移动到另一个子域时始终输入一次密码,这当然不是一种很好的用户体验拥有SSO
访问:a.test.com 用simplesamlPHP登录 具有PrivacyIDEA的完整OTP 请访问:b.test.com SSO用户名/密码会自动传递 再次询问PrivacyIDEA的OTP(为什么?) 请访问:c.test.com SSO用户名/密码会自动传递 再次询问来自PrivacyIDEA的OTP(为什么?)
在https://community.privacyidea.org/t/when-using-simplesamlphp-for-sso-on-multiple-subdomains-how-do-i-bypass-otp-on-the-second-domain/1384上提出了问题。在答案中提到,如果我理解得很好,实际上是sp上的应用程序确定它是否满意还是要重新认证。
对于我来说,sp上的应用程序是针对多个子域的mod_mellon,对于我们的Moodle网站而言是https://github.com/catalyst/moodle-auth_saml2。
查看浏览器的saml对话,我发现更改子域时已完成IDP的往返操作-巫婆可能导致IDP再次挑战privacyIdea服务器。
我无法想象我是唯一一个遇到此问题的人,但是除了privacyIdea-community中的那篇文章,我找不到有关此问题的任何信息。
有没有人能对此有所帮助,以帮助我理解/解决这个问题?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)