7

opensaml-java を使用して SAML オブジェクトを生成しようとしています。

参照: https://www.oasis-open.org/committees/download.php/12958/SAMLV2.0-basics.pdfのスライド #30

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                        ForceAuthn="true"
                        AssertionConsumerServiceURL="http://www.example.com/"
                        AttributeConsumingServiceIndex="0" ProviderName="string"
                        ID="abe567de6"
                        Version="2.0"
                        IssueInstant="2005-01-31T12:00:00Z"
                        Destination="http://www.example.com/"
                        Consent="http://www.example.com/" >

この Destination 、 Consent 、 AssertionConsumerServiceURL では、3 つすべてが同じアドレスを表しています。 彼らは実際に何を表していますか?

【Q.1】違いはありますか? 確かに何らかの違いがあるに違いありません。

または違いがない場合、それらは何を表していますか?

編集 1: AssertionConsumerServiceURL は、IdP からのアサーション応答メッセージが期待される IdP のランディング ページです。

4

2 に答える 2

9

宛先( saml 2 コア行 1477-1482 で定義)

Destination は、メッセージの送信先のエンドポイントの URL です。通常、SAML ピアにはバインディングごとに異なるエンドポイントがあり、値は IDP で使用され、受信したメッセージが実際に受信した場所を対象としていたことを確認します。特定の攻撃シナリオを軽減するのに役立ちます。

同意( saml 2 コア行 1483-1488 で定義)

値は、送信者がプリンシパル (通常はユーザー) からこの SAML メッセージを発行する許可を受け取った方法について IDP に伝える単なるアドバイスです。これはオプションであり、通常は使用されません。

AssertionConsumerServiceURL ( saml 2 コア行 2061-2067 で定義)

ピア IDP が応答を送信する必要がある側の URL を識別します。この属性を使用する場合は、ProtocolBinding も指定する必要があります。この値は assertionConsumerServiceIndex と相互に排他的であるため、両方を同時に使用しないでください。

于 2014-04-27T10:01:28.570 に答える
7

SAML 仕様では、プリンシパル (通常はユーザー)、ID プロバイダー (IdP)、およびサービス プロバイダー (SP) の 3 つの役割が定義されています。 ウィキ

サービス プロバイダーが要求 (SAML 要求) を行い、ID プロバイダーから ID アサーションを取得します (SAML 応答)

したがって、 AssertionConsumerServiceURLはサービス プロバイダー (SP) 側にあります。この URL で、ID プロバイダー (IdP) はアサーションを含む SAML 応答を送信し、サービス プロバイダー (SP) はそれを読み取る機能を備えている必要があります。

私の理解によると、バインディングは、SAML XML プロトコル メッセージが SP と IdP の間で (標準のメッセージング形式に) 転送される方法を表します。以上の方法があります。例えば

  • HTTP ポスト、
  • HTTP リダイレクト
  • SAML SOAP バインディング (SOAP 1.1 に基づく)

したがって、SP は複数のバインディング URL アドレスを持つ可能性があります。

  • アサーション コンシューマ サービス POST バインディング URL
  • アサーション コンシューマ サービス リダイレクト バインディング URL
于 2016-10-23T00:00:35.117 に答える