SAML 2.0中的收件人与受众群体

有人可以解释SAML 2.0中收件人受众之间有什么区别吗?

我在这里发现了OneLogin的相当模糊的解释:https://support.onelogin.com/hc/en-us/articles/202673944-How-to-Use-the-OneLogin-SAML-Test-Connector:

收件人会准确地告诉您SAML的回应是谁,但受众会在更广的层面告诉您回应的内容。 例如,接收者可以是洋基体育场,而观众可以是纽约市。

但是,我不是100%肯定它是正确的。 我已经看到Audience比收件人更具体。


收件人与SAML声明的主题元素相关联,该元素与执行身份验证的用户或主题有关,主题数据由IdP授予该特定收件人(SP),他们可以对声明采取行动。

主题数据,例如NameID格式,值(IdP和SP之间唯一标识用户或主题),以什么标记格式(例如:承载标记)的NameID值,标记的收据和有效性。 通常,收到将收到断言的SP端点。

   ...
   <saml:Subject>
     <saml:NameID
       Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
       3f7b3dcf-1674-4ecd-92c8-1544f346baf8
     </saml:NameID>
     <saml:SubjectConfirmation
       Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
       <saml:SubjectConfirmationData
         InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
         Recipient="https://sp.example.com/SAML2/SSO/POST"
         NotOnOrAfter="2004-12-05T09:27:05"/>
     </saml:SubjectConfirmation>
   </saml:Subject>
   ...

受众与SAML断言的Condition元素相关联,它告诉在哪些安全条件或上下文中,断言是有效的,并提供与此类有效性有关的条款和条件(如断言的时间有效性,谁可以使用断言等)。 通常,受众将SP的EntityID。

   ...
   <saml:Conditions
     NotBefore="2004-12-05T09:17:05"
     NotOnOrAfter="2004-12-05T09:27:05">
     <saml:AudienceRestriction>
       <saml:Audience>https://sp.example.com/SAML2</saml:Audience>
     </saml:AudienceRestriction>
   </saml:Conditions>
   ...

受众和收据是为了SAML声明中的特定目的而布置的,不能盲目地采取它们都具有与其值相同的SP URL。 此外,它还取决于IdP的实施情况,并且IdP和SP将协商提供在SAML声明的受众群体和回执元素中使用的值。

链接地址: http://www.djcxy.com/p/92795.html

上一篇: Recipient vs Audience in SAML 2.0

下一篇: Can I use dynamic in a .NET Standard class library?