0

在 AuthnRequest 期间,是否存在 AudienceRestriction

<saml:AudienceRestriction>
  <saml:Audience>http://serviceprovider.com/</saml:Audience>
</saml:AudienceRestriction>

将与 AuthnRequest 中的颁发者不同

   <?xml version="1.0" encoding="UTF-8"?>
  <saml2p:AuthnRequest 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
       xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
       AssertionConsumerServiceURL="https://serviceprovider.com/acs/web/sso/receiveSamlAuthentication" 
      Destination="http://idp.net/idp/SSOPOST/metaAlias/realm2/IDP"
     ID="http://serviceprovider.com/acsdata/data/AcsConfiguration/821212" IssueInstant="2010-08-20T14:48:27.620Z" Version="2.0">
              <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://serviceprovider.com/</saml2:Issuer>
....
   </saml2p:AuthnRequest>
4

2 回答 2

1

SAML 2.0 Web 浏览器 SSO 配置文件(来自 saml-profiles-2.0-os.pdf:566/577):

包含承载主题确认的断言必须包含一个 AudienceRestriction,包括服务提供商的唯一标识符作为 Audience

因此,似乎它们应该始终是相同的,至少要符合已发布的配置文件。

于 2011-03-05T04:21:34.090 回答
0

也许如果您在一个 URL 上有一个登录应用程序,而在另一个 URL 有一个“真实”应用程序?也许不常见,但几乎不可能;比如说,通过 HTTPS 具有登录功能,通过 HTTP 具有应用程序。

于 2011-03-04T13:44:59.787 回答