我正在为现有的多租户SaaS应用程序添加SAML服务提供商支持。
在Idp启动的工作流程中,假设我之前已加载了Idp元数据XML文件,我可以在samlp:Response中查找哪些数据以将断言与本地帐户匹配?
将响应中的saml:Issuer与元数据中的entityID进行匹配是否安全?可能saml:Issuer在不同的Idp帐户中不是唯一的,因此不够明显吗?
如果使用Audience呢?
或者最安全的是为Idp提供我们自己的属性?
对此有什么最佳做法吗?
答案 0 :(得分:0)
Audience是您的服务。 Issuer是一个很好的候选者,因为它可以识别身份验证来源(例如您的客户的IdP)。