SAML 2.0中的收件人与受众群体
有人可以解释SAML 2.0中收件人和受众之间有什么区别吗?
我在这里发现了OneLogin的相当模糊的解释:https://support.onelogin.com/hc/en-us/articles/202673944-How-to-Use-the-OneLogin-SAML-Test-Connector:
收件人会准确地告诉您SAML的回应是谁,但受众会在更广的层面告诉您回应的内容。 例如,接收者可以是洋基体育场,而观众可以是纽约市。
但是,我不是100%肯定它是正确的。 我已经看到Audience比收件人更具体。
收件人与SAML声明的主题元素相关联,该元素与执行身份验证的用户或主题有关,主题数据由IdP授予该特定收件人(SP),他们可以对声明采取行动。
主题数据,例如NameID格式,值(IdP和SP之间唯一标识用户或主题),以什么标记格式(例如:承载标记)的NameID值,标记的收据和有效性。 通常,收到将收到断言的SP端点。
...
<saml:Subject>
<saml:NameID
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
3f7b3dcf-1674-4ecd-92c8-1544f346baf8
</saml:NameID>
<saml:SubjectConfirmation
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
Recipient="https://sp.example.com/SAML2/SSO/POST"
NotOnOrAfter="2004-12-05T09:27:05"/>
</saml:SubjectConfirmation>
</saml:Subject>
...
受众与SAML断言的Condition元素相关联,它告诉在哪些安全条件或上下文中,断言是有效的,并提供与此类有效性有关的条款和条件(如断言的时间有效性,谁可以使用断言等)。 通常,受众将SP的EntityID。
...
<saml:Conditions
NotBefore="2004-12-05T09:17:05"
NotOnOrAfter="2004-12-05T09:27:05">
<saml:AudienceRestriction>
<saml:Audience>https://sp.example.com/SAML2</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
...
受众和收据是为了SAML声明中的特定目的而布置的,不能盲目地采取它们都具有与其值相同的SP URL。 此外,它还取决于IdP的实施情况,并且IdP和SP将协商提供在SAML声明的受众群体和回执元素中使用的值。
链接地址: http://www.djcxy.com/p/92795.html