SAML 2.0中的收件人与受众
问题描述:
有人可以解释收件人和受众群体在SAML 2.0中有什么区别?SAML 2.0中的收件人与受众
我发现从OneLogin这里只是很含糊的解释: https://support.onelogin.com/hc/en-us/articles/202673944-How-to-Use-the-OneLogin-SAML-Test-Connector:
收件人会告诉你SAML响应是究竟是谁,但观众会告诉你,在更广泛的层面,其中应该回应。例如,接收者可以是洋基体育场,而观众可以是纽约市。
但是,我不是100%确定它是正确的。我已经看到Audience比收件人更具体。
答
收件人与SAML Assertion的Subject元素相关联,该元素与执行身份验证的用户或主体相关,主题数据由IdP授予该特定收件人(SP)在断言。主题数据,例如NameID格式,值(IdP和SP之间唯一标识用户或主题),以什么标记格式(例如:承载标记)的NameID值,标记的收据和有效性。通常,收到将收到断言的SP端点。
...
<saml:Subject>
<saml:NameID
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
3f7b3dcf-1674-4ecd-92c8-1544f346baf8
</saml:NameID>
<saml:SubjectConfirmation
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
Recipient="https://sp.example.com/SAML2/SSO/POST"
NotOnOrAfter="2004-12-05T09:27:05"/>
</saml:SubjectConfirmation>
</saml:Subject>
...
观众与SAML声明的条件元素相关联,并且,告诉其下的安全条件或上下文中,断言是有效的并且提供了一些条款和条件与这种有效性(如断言的时间有效性,谁可以使用断言等)。通常,受众将SP的EntityID。
...
<saml:Conditions
NotBefore="2004-12-05T09:17:05"
NotOnOrAfter="2004-12-05T09:27:05">
<saml:AudienceRestriction>
<saml:Audience>https://sp.example.com/SAML2</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
...
观众和收据的布局设计为SAML断言的特定目的,不能盲目采取他们都将拥有相同的SP URL作为其值。此外,它还取决于IdP的实施情况,并且IdP和SP将协商提供在SAML声明的受众群体和回执元素中使用的值。