it-swarm-eu.dev

Jaký je účel AudienceRestriction v SAML 2.0?

Po přečtení základní specifikace pro SAML 2.0 oddíl 2.5.1.4 (strana 23) stále nedokážu plně pochopit účel značky AudienceRestriction a jaký problém se pokouší napravit.

Moje, pravděpodobně nesprávná interpretace značky AudienceRestriction spočívá v tom, že usnadňuje určitý druh prohlášení o záměru, který deklaruje, jaké konkrétní URI s SP) dané tvrzení je platné.

Velmi by ocenilo, kdyby někdo mohl vysvětlit (a) účel značky a (b) typický scénář použití a (c) případné důsledky jejího vyloučení a/nebo zneužití.

17
Christoffer

SAML 2.0 AudienceRestriction je skoro to, co jste shromáždili. Je to podmínka platnosti tvrzení. Zejména prohlašuje, že sémantika tvrzení je platná pouze pro spoléhající stranu jmenovanou URI v tomto prvku.

Účelem je omezit podmínky, za nichž je tvrzení platné, a případně stanovit podmínky týkající se této platnosti. Sémantika prvku tedy souvisí s rozsahem a podmínkami vztahů důvěry. Od jádro SAML 2.0, oddíl 2.5.1.4 (PDF) :

Ačkoli strana spoléhající se na SAML, která je mimo uvedené publikum, je schopna vyvodit závěry z tvrzení, strana uplatňující SAML výslovně nevyjadřuje žádné prohlášení o přesnosti nebo důvěryhodnosti takové straně ...

... <AudienceRestriction> element umožňuje prohlašující straně SAML výslovně prohlásit, že takové straně není poskytována žádná záruka ve strojově a lidsky čitelné podobě. I když nemůže existovat žádná záruka, že by soud takovéto vyloučení ze záruky zajistil za všech okolností, pravděpodobnost dodržení vyloučení ze záruky se výrazně zvyšuje ...

I.e., nejedná se o věc kódu, ale o věc lidskou (řízení rizik/záruka/důvěra). Pokud je modul používán nesprávně, mají sklon vyvolávat chyby - většina SP očekává, že budou uvedeny v AudienceRestriction.

14
Mark Beadles