Utilizzo di Kentor.AuthServices.StubIdp come IDP di produzione

Question

Sto tentando di implementare un server IDP (SAML2) all'interno della mia applicazione. Non voglio che nessuno dei miei partner chieda ai nostri clienti di registrarsi da parte loro dato che la mia applicazione ha tutti i dati necessari.

Non ho molta familiarità con il protocollo SAML2. Ho trovato il progetto Kentor.AuthServices.StubIdp il più interessante perché implementa tutto ciò di cui ho bisogno. Sono anche consapevole del fatto che non è costruito per scopi di produzione.

Ho pianificato di costruire l'IDP su StubIdp, perché non posso permettermi soluzioni costose come ComponentPro.

Esiste un'alternativa migliore? Costruire in cima a StubIdp è una buona idea?

Answer 1

SAML2 login può essere fatto in due modi:

1. SP-initiated, dove la SP invia un AuthnRequest alla Idp e le risposte Idp con SAMLResponse.
2. Idp-initaited, in cui l'Idp invia una SamlResponse non richiesta.

Kentor.AuthServices (la libreria che gestisce StubIdp) contiene tutto il necessario per gli accessi avviati da Idp. Cerca nella sorgente Stub Idp come è fatta.

Effettuare correttamente l'accesso avviato da SP è più complicato in quanto l'Idp dovrebbe eseguire alcune convalide sull'authnRequest in ingresso. Queste convalide sono completamente assenti nello Stub Idp (è una specie di idea per un ambiente di test). Implementare l'accesso avviato da SP è sicuramente possibile, ma per farlo in sicurezza è necessario molto più lavoro.