我们有几家服务提供商使用Saml 2.0进行单点登录,但它们都运行正常。我们最近添加的内容是因为我们在SubjectConfirmationData元素上发送NotBefore属性。据我所知,这是Saml 2.0(https://docs.oasis-open.org/security/saml/v2.0/saml-schema-assertion-2.0.xsd)的xsd架构的一部分,但是在此配置文件PDF(https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf)中它被标记为不可。
我错过了什么?
答案 0 :(得分:0)
正如您所知,Web浏览器SSO配置文件(您用于为用户提供单点登录作为身份提供商的配置文件)规定您不应设置NotBefore。该配置文件为通常使用的Assertion定义的模式设置了进一步的限制,这是完全正常的。
手边的服务提供商严格检查合规性,从而拒绝您的断言。到目前为止它一直在工作的事实可能意味着其他服务提供商实施更宽松。