AutenStatement是否应出现在IdP发起的SAMLResponse中

时间:2014-10-14 04:55:47

标签: saml saml-2.0 opensaml

在IDP Initiated FLow的情况下,在SAML响应的断言中,AuthnStatement是否也是强制性的?

编辑: 什么是持票人断言及其用途是什么?

2 个答案:

答案 0 :(得分:1)

就我们所讨论的身份验证请求协议(用于 Web浏览器SSO配置文件)进行SP和IDP初始化单点登录而言,该标准具有以下是:

  

如果配置文件没有覆盖)断言   返回必须包含一个表示的元素   主持人。标识符类型和格式由。确定   身份提供者。至少在一个断言中至少有一个陈述   必须是描述身份验证的   由响应者或与之关联的认证服务执行   它。 (2250-2253核心)

  

一个或多个断言的集合必须至少包含一个断言    这反映了委托人的身份验证   身份提供者。 (547-548个人资料)

所以答案是 - 依赖于配置文件,一些SAML配置文件(包括自定义配置文件)可能不需要AuthnStatements,但是用于Web单点登录的最典型的SAML配置文件(以及您最有可能讨论的配置文件)确实需要它适用于SP和IDP初始化流程。

对于你的第二个问题 - bearer assertion 就是使用承载主题确认的断言。

主题确认是帮助断言的接收方(依赖方/服务提供商)验证断言的主持人(证明方 - 例如浏览器或API客户端,......)的信息。 )与其主题相关(关于谁是发布的主张)并被授权代表主题提出主张(以确保某人不能使用为其他人发出的主张,未经其他人的许可) 。 承载主体确认仅表示断言的主持人与主题相同。

答案 1 :(得分:0)

SAML中几乎没有必要的东西。根据SAML AuthnStatement在任何断言中都不是强制性的。这可能在您使用的软件中以某种方式受到限制。如果对于SP init流程中的断言是强制性的,我猜它在IDP init流程中是强制性的