来自http://saml.xml.org/assertions, “请注意,SAML响应可能包含多个断言,尽管在响应中只有一个断言更为典型。”
但我想知道一些需要多个断言的实际场景。
答案 0 :(得分:1)
断言是身份提供商(IdP)提出的声明。 Attribute中包含AttributeStatement,因此电子邮件地址,名字,姓氏等将是Attribute个AttributeStatement中包含的Assertion个实例。每个Assertion都需要一个Subject,可以用于不同的事情。通常,只有一个Assertion包含AuthenticationStatement和AttributeStatement个Attribute个实例。
多个Assertion的一个用例可能是关于Subject的声明,其时间限制与Attribute列表不同。例如也许是关于用户的一些事实,应该仅在Conditions - > NotBefore - > NotOnOrAfter定义的短时间内依赖。也许某种身份验证机制只允许用户在IdP上进行短时间身份验证,与可以使用Attribute列表的较长时间相比。
您可以在Assertion here中查看多个SAMLResponse的用例。