SAML 2.0中的接收者与受众 [英] Recipient vs Audience in SAML 2.0
本文介绍了SAML 2.0中的接收者与受众的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
谁能解释一下SAML 2.0中收件人和受众有什么不同?
我在OneLogin中只找到了非常含糊的解释: https://support.onelogin.com/hc/en-us/articles/202673944-How-to-Use-the-OneLogin-SAML-Test-Connector:
接收者将确切地告诉您SAML响应是针对谁的,但受众将在更广泛的层面上告诉您响应应该发送到哪里。例如,收件人可能是扬基体育场,而观众可能是纽约市。
然而,我不能100%肯定它是正确的。我见过受众比接受者更具体。
SAML
<接收者
接收者与推荐答案断言的主题元素相关联,该元素是关于为其执行身份验证的用户或主题,并且该主题数据由IdP授予该特定接收者(SP),后者可以对该断言执行操作。
主题数据,如NameID格式、值(在IdP和SP之间唯一标识用户或主题)、令牌格式的NameID值(例如:持有者令牌)、谁是令牌的接收和有效性。接收通常是接收断言的SP终结点。 ...
<saml:Subject>
<saml:NameID
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
3f7b3dcf-1674-4ecd-92c8-1544f346baf8
</saml:NameID>
<saml:SubjectConfirmation
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
Recipient="https://sp.example.com/SAML2/SSO/POST"
NotOnOrAfter="2004-12-05T09:27:05"/>
</saml:SubjectConfirmation>
</saml:Subject>
...
受众与SAML断言的Condition元素相关联,它告诉我们在哪些安全条件或上下文下,断言是有效的,并提供与这种有效性相关的一些术语和条件(如断言的时间有效性、谁可以消费断言等)。通常,受众将是SP的实体ID。
...
<saml:Conditions
NotBefore="2004-12-05T09:17:05"
NotOnOrAfter="2004-12-05T09:27:05">
<saml:AudienceRestriction>
<saml:Audience>https://sp.example.com/SAML2</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
...
受众和收据在SAML断言中是为特定目的而布局的,不能盲目地认为它们的值都是相同的SP URL。此外,它依赖于IdP实现以及IdP和SP协商,以确定在SAML断言的Audience和Receive元素中使用什么值。
这篇关于SAML 2.0中的接收者与受众的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文