Реализация SAML наряду с традиционной аутентификацией

Question

Мне трудно найти руководство по внедрению SAML наряду с существующей традиционной системой аутентификации.

Я создал приложение SaaS в CodeIgnitor, которое имеет типичную стандартную систему аутентификации, использующую таблицу локальных пользователей с хешированием, засолкой и т. Д.

Я хочу добавить SAML SSO, чтобы привлечь больше корпоративных клиентов. Однако у меня есть вопрос, где мой Google Fu не хватает.

Как я могу интегрировать аутентификацию SAML, чтобы она работала параллельно с моей традиционной локальной аутентификацией? Если мои клиенты выберут SAML, я буду требовать, чтобы они привязали свои существующие локальные учетные записи к своим федеративным удостоверениям SAML. Что я делаю, чтобы обслужить моих не-SAML пользователей?

Мне нужны два URL-адреса для входа, такие как https://app.com/saml/login для моих пользователей SAML и https://app.com/login для моих пользователей, не являющихся пользователями SAML, и просто ожидайте, что клиенты выберут правильный? Или, может быть, я сначала спрашиваю их адрес электронной почты / имя пользователя, а затем требую, чтобы они отправили это значение, чтобы посмотреть, являются ли они SAML или нет, - и направить их соответствующим образом?

Answer 1

Вам необходимо установить провайдер идентификации (IDP), который поддерживает SAML.

Вы используете инициированный IDP профиль SAML.

Ваше приложение. подключен к IDP через стек SAML.

Другие предприятия могут затем объединиться с вашим IDP, то есть войти на ваш веб-сайт со своими учетными данными через SAML.

Профиль SAML, инициированный IDP, содержит URL-адрес, который вы даете клиентам, который передает их вашему IDP с их учетными данными, а затем в ваше приложение.

Пользователи, переходящие непосредственно на ваш сайт, используют локальное соединение.

Тем не менее, лучше использовать OpenID Connect - это намного проще, но принципы те же.