SAML 2.0中的接收者与受众 [英] Recipient vs Audience in SAML 2.0

问题描述

谁能解释一下SAML 2.0中收件人和受众有什么不同？

我在OneLogin中只找到了非常含糊的解释： https://support.onelogin.com/hc/en-us/articles/202673944-How-to-Use-the-OneLogin-SAML-Test-Connector：

接收者将确切地告诉您SAML响应是针对谁的，但受众将在更广泛的层面上告诉您响应应该发送到哪里。例如，收件人可能是扬基体育场，而观众可能是纽约市。

然而，我不能100%肯定它是正确的。我见过受众比接受者更具体。

SAML

<接收者

接收者与推荐答案断言的主题元素相关联，该元素是关于为其执行身份验证的用户或主题，并且该主题数据由IdP授予该特定接收者(SP)，后者可以对该断言执行操作。

主题数据，如NameID格式、值(在IdP和SP之间唯一标识用户或主题)、令牌格式的NameID值(例如：持有者令牌)、谁是令牌的接收和有效性。接收通常是接收断言的SP终结点。

   ...
   <saml:Subject>
     <saml:NameID
       Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
       3f7b3dcf-1674-4ecd-92c8-1544f346baf8
     </saml:NameID>
     <saml:SubjectConfirmation
       Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
       <saml:SubjectConfirmationData
         InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
         Recipient="https://sp.example.com/SAML2/SSO/POST"
         NotOnOrAfter="2004-12-05T09:27:05"/>
     </saml:SubjectConfirmation>
   </saml:Subject>
   ...

受众与SAML断言的Condition元素相关联，它告诉我们在哪些安全条件或上下文下，断言是有效的，并提供与这种有效性相关的一些术语和条件(如断言的时间有效性、谁可以消费断言等)。通常，受众将是SP的实体ID。

   ...
   <saml:Conditions
     NotBefore="2004-12-05T09:17:05"
     NotOnOrAfter="2004-12-05T09:27:05">
     <saml:AudienceRestriction>
       <saml:Audience>https://sp.example.com/SAML2</saml:Audience>
     </saml:AudienceRestriction>
   </saml:Conditions>
   ...

受众和收据在SAML断言中是为特定目的而布局的，不能盲目地认为它们的值都是相同的SP URL。此外，它依赖于IdP实现以及IdP和SP协商，以确定在SAML断言的Audience和Receive元素中使用什么值。

这篇关于SAML 2.0中的接收者与受众的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！