背景: 我的公司是IDP的客户服务提供商。我们使用OpenAM,但我们的客户使用ADFS或Shibboleth。我们交换元数据文件以建立联合,而不是URL。客户问我们为什么需要AuthnContext类模式(特别是PasswordProtectedTransport),不仅我们不知道为什么,我们也不知道如何更改它或者意味着什么。
问题: 使用" PasswordProtectedTransport"之间的功能区别是什么? vs"未指明"对于SAML2断言中的AuthnContextClassRef?
我们目前在所有客户中使用PasswordProtectedTransport,但我公司没有人能告诉我为什么要这样做。如果我们将其删除,联盟将停止使用500错误和#34; NoAuthnContext"在SAML跟踪中。我们也不明白,因为我从saml文档中了解到,具有模式的模式对于身份验证是可选的。即便如此,我也没有看到任何关于使用"未指明"的含义的解释。会的。
我无法在任何地方找到关于这个主题的任何详尽的解释或讨论,并且希望有人可以为我详细说明,因为我正在努力寻找这个。
答案 0 :(得分:7)
RequestedAuthnContext是SP要求IDP使用特定的身份验证机制对用户进行身份验证的手段。
例如,如果您在请求中指定PasswordProtectedTransport,则IDP知道必须通过SSL / TLS保护的登录/密码对用户进行身份验证。
IDP在其响应中说明了用于通过AuthnContextClassRef验证用户的机制。
RequestedAuthnContext是可选的,但断言中的AuthnContextClassRef是SAML架构指定的必需项(因此遇到500错误)。
基本上,IDP使用unspecified URN表示"我不想告诉您我如何识别用户"。
作为SP,如果要确保用户使用安全机制进行身份验证,您可以选择接受该答案或拒绝该答案。