在IDP Initiated FLow的情况下,在SAML响应的断言中,AuthnStatement是否也是强制性的?
编辑: 什么是持票人断言及其用途是什么?
答案 0 :(得分:1)
就我们所讨论的身份验证请求协议(用于 Web浏览器SSO配置文件)进行SP和IDP初始化单点登录而言,该标准具有以下是:
如果配置文件没有覆盖)断言 返回必须包含一个表示的元素 主持人。标识符类型和格式由。确定 身份提供者。至少在一个断言中至少有一个陈述 必须是描述身份验证的 由响应者或与之关联的认证服务执行 它。 (2250-2253核心)
和
一个或多个断言的集合必须至少包含一个断言 这反映了委托人的身份验证 身份提供者。 (547-548个人资料)
所以答案是 - 依赖于配置文件,一些SAML配置文件(包括自定义配置文件)可能不需要AuthnStatements,但是用于Web单点登录的最典型的SAML配置文件(以及您最有可能讨论的配置文件)确实需要它适用于SP和IDP初始化流程。
对于你的第二个问题 - bearer assertion 就是使用承载主题确认的断言。
主题确认是帮助断言的接收方(依赖方/服务提供商)验证断言的主持人(证明方 - 例如浏览器或API客户端,......)的信息。 )与其主题相关(关于谁是发布的主张)并被授权代表主题提出主张(以确保某人不能使用为其他人发出的主张,未经其他人的许可) 。 承载主体确认仅表示断言的主持人与主题相同。
答案 1 :(得分:0)
SAML中几乎没有必要的东西。根据SAML AuthnStatement在任何断言中都不是强制性的。这可能在您使用的软件中以某种方式受到限制。如果对于SP init流程中的断言是强制性的,我猜它在IDP init流程中是强制性的