Проверка подписи поставщика услуг SAML

Question

Это основной вопрос о протоколе SAML и о том, как он указывает проверку токена SAML.

Рассматривая разные схемы и ресурсы, похоже, что провайдеру услуг не нужно звонить в Identity Provider (IdP), чтобы проверить токен SAML. Я заинтересован в разъяснении шага 5 (запросить службу по утверждению потребителей в СП) из wiki SAMPL_wiki. Проверка основного токена выполняется провайдером услуг без дополнительных звонков в IdP.
Токен проверки состоит из 3-х этапов:
1.Verify лексема является хорошо сформированным
2.Verify маркер исходит от предполагаемого органа
3.Verify маркер предназначен для текущего приложения

Is это предположение правильно?

Answer 1

С очень высокого уровня, да, ваши три шага верны.

Более конкретно:

1 будет включать в себя декодирование в формате base64 ответ, проверка против схемы и т.д.

2 будет сделано с помощью проверки подписи, проверки полномочий, , видя, если это ответ на посланный AuthnRequest и соответствие его, и т.д.

3 происходит от проверки состояния реле и обеспечения того, чтобы это места, которое «защищен» от поставщика услуг