0

AuthnRequest中に、AudienceRestrictionが発生する場合がありますか

<saml:AudienceRestriction>
  <saml:Audience>http://serviceprovider.com/</saml:Audience>
</saml:AudienceRestriction>

AuthnRequestの発行者とは異なります

   <?xml version="1.0" encoding="UTF-8"?>
  <saml2p:AuthnRequest 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
       xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
       AssertionConsumerServiceURL="https://serviceprovider.com/acs/web/sso/receiveSamlAuthentication" 
      Destination="http://idp.net/idp/SSOPOST/metaAlias/realm2/IDP"
     ID="http://serviceprovider.com/acsdata/data/AcsConfiguration/821212" IssueInstant="2010-08-20T14:48:27.620Z" Version="2.0">
              <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://serviceprovider.com/</saml2:Issuer>
....
   </saml2p:AuthnRequest>
4

2 に答える 2

1

SAML 2.0 Web ブラウザー SSO プロファイル (saml-profiles-2.0-os.pdf:566/577 から):

ベアラー サブジェクトの確認を含むアサーションには、Audience としてサービス プロバイダーの一意の識別子を含む AudienceRestriction を含める必要があります。

したがって、少なくとも公開されたプロファイルに準拠するためには、常に同じである必要があるようです。

于 2011-03-05T04:21:34.090 に答える
0

おそらく、ある URL に 1 つのログイン アプリケーションがあり、別の URL に「実際の」アプリケーションがある場合はどうでしょうか。一般的ではないかもしれませんが、ほとんど不可能ではありません。たとえば、HTTPS を介したログイン機能と HTTP を介したアプリケーションがあります。

于 2011-03-04T13:44:59.787 に答える