在SAML 2.0中,您可以使用AttributeStatement元素提供任何类型的应用程序特定信息。
我想知道,在SAML断言中传递业务相关信息真的很好吗?不应该在例如此处提供此数据。单独的网络服务电话?
我只是想在这种情况下要求最佳实践或任何现实世界的经验。
此致 安德烈亚斯
答案 0 :(得分:2)
这很大程度上取决于您传达的信息。例如,在我处理的应用程序上,我们使用属性来指示应该向正在登录的用户显示哪些网站功能。这显然是一个合适的用途。现在,我们还允许使用属性来创建用户配置文件,即使我们有一个执行相同操作的Web服务(实际上,实现在后台调用Web服务)。对于那种事情来说,这不是一个理想的背景;没有端点传达Web服务响应,或者尝试产生的任何错误。但是我们从客户那里获得了相当大的阻力,他们不希望在他们能够进行SSO呼叫之前调用单独的Web服务。所以我们不得不妥协。我们所做的是要求客户想要使用此特定功能,他们提供端点(电子邮件地址或网页)以接收来自Web服务调用的错误。如果他们担心所传递信息的安全性,他们可以使用标准的XML加密。