SAML 2.0 AuthnRequest AudienceRestriction

时间:2011-03-04 13:40:31

标签: saml opensso

在AuthnRequest期间,是否存在AudienceRestriction

的情况 
<saml:AudienceRestriction>
  <saml:Audience>http://serviceprovider.com/</saml:Audience>
</saml:AudienceRestriction>

与AuthnRequest中的Issuer不同

   <?xml version="1.0" encoding="UTF-8"?>
  <saml2p:AuthnRequest 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
       xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
       AssertionConsumerServiceURL="https://serviceprovider.com/acs/web/sso/receiveSamlAuthentication" 
      Destination="http://idp.net/idp/SSOPOST/metaAlias/realm2/IDP"
     ID="http://serviceprovider.com/acsdata/data/AcsConfiguration/821212" IssueInstant="2010-08-20T14:48:27.620Z" Version="2.0">
              <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://serviceprovider.com/</saml2:Issuer>
....
   </saml2p:AuthnRequest>

2 个答案:

答案 0 :(得分:1)

SAML 2.0 Web浏览器SSO配置文件(来自saml-profiles-2.0-os.pdf:566/577):

  

包含持票人的断言   主题确认必须包含   AudienceRestriction包括   服务提供商的唯一标识符   作为观众

因此,似乎应该始终如此,至少与发布的个人资料一致。

答案 1 :(得分:0)

也许如果您在一个URL上有一个登录应用程序,而在另一个URL上有一个“真正的”应用程序?也许不常见,但几乎不可能;比如说,通过HTTPS和HTTP上的应用程序具有登录功能。

相关问题
最新问题