0
IDP 시작된 FLOW의 경우 AuthnStatement도 SAML 응답의 어설 션에서 필수입니까?AuthnStatement가 IdP가 시작한 SAMLResponse에 나타나야합니까?
편집 : 무기명 어설 션이란 무엇이며 그 용도는 무엇입니까?
A
답변
1
에 흐르는 IDP에서 필수입니다 추측 것 프로필을 대체하지 않습니다
경우) 주장 (들) 가 발표자를 표현하는 요소를 포함해야한다 반환 : SP 및 IDP 모두 표준이 말을 followng을 가지고, Single Sign-On을 초기화. 식별자 유형 및 형식은 ID 제공자 에 의해 결정됩니다. 적어도 하나의 어설 션에서 적어도 하나의 성명 은 과 연관된 응답자 또는 인증 서비스에 의해 수행 된 인증 을 설명하는 것이어야합니다. (2250년부터 2253년까지 코어) 하나 이상의 어설
및
세트 아이덴티티 제공자 주체의 인증을 반영 적어도 하나를 포함해야한다. (547-548 프로파일)
그래서 대답은은 - 프로필에 따라, AuthnStatements을 필요로하지 않을 수 있습니다 (사용자 정의 포함한) 일부 SAML 프로파일 그러나 웹 싱글 사인온 (그리고 하나에 대한 가장 일반적인 SAML 프로필 당신은 SP와 IDP 초기화 흐름 모두를 요구할 것입니다.
그리고 두 번째 질문에
- 베어러 주장는 베어러 대상 확인을 사용하는 등의 주장이다.제목 확인은 어설 션 (신뢰 당사자/서비스 공급자)의 수신자가 어설 션의 발표자 (증명 담당자 - 예 : 브라우저 또는 API 클라이언트)와 관련이 있음을 확인하는 정보입니다 그 주체 (누구에 대해 주장이 발행되었는지)와 다른 사람의 허락없이 누군가 다른 사람에게 발급 된 주장을 사용할 수 없도록하기 위해 주체를 대신하여 주장을 제시 할 권한이있다. 무기명 피험자 확인은 단순히 주장의 발표자가 피사체와 동일하다는 것을 의미합니다.
0
SAML에서는 필수 항목이 거의 없습니다. 어떤 주장에서도 SAML AuthnStatement의 적용은 필수 사항이 아닙니다. 이것은 아마도 사용중인 소프트웨어에 어떤 식 으로든 제한되어있을 것입니다. 이 SP 초기화 흐름 어설 필수 경우 나는 초기화 우리가 웹 브라우저 SSO 프로필에서 사용되는 인증 요청 프로토콜 얘기로 지금까지
AuthnStatement없이 사용자가 SP 측에서 유효한 세션을 설정하는 방법을 믿을 수 있습니까? – mavis
명세서에서 "설명이없는 주장은 요소를 반드시 포함해야합니다. 이러한 주장은 주체를 SAML 방법을 사용하여 참조하거나 확인할 수 있지만 그 주체와 관련된 정보는 더 이상 표명하지 않습니다." –
하지만 소프트웨어에 AuthnStatement가 필요할 수 있습니다. –