В случае IDP Initiated FLow, является ли AuthnStatement также обязательным в утверждении ответа SAML?Должен ли присутствовать AuthnStatement в инициированном IdP SAMLResponse
Редактировать: А что такое носитель Утверждение и каково его использование?
Насколько мы говорим о протоколе запроса на аутентификации, который используется в Web Browser SSO Profile для как ИП и МВА инициализируются единым вход, стандарт имеет followng сказать:
в случае, если профиль не перекрывает) утверждение (ы) возвращается дОЛЖЕН содержать элемент, который представляет выступающие. Тип и формат идентификатора определяются поставщиком идентификации . По меньшей мере один оператор по меньшей мере в одном утверждении ДОЛЖЕН быть тем, который описывает аутентификацию , выполняемую службой ответчика или аутентификации, связанной с . (2250-2253 ядро)
и
Набор из одного или нескольких утверждений, должны содержать по крайней мере один , который отражает аутентификацию принципала к провайдера идентификации. (547-548 профили)
Так что ответ - зависит от профиля, некоторые профили SAML (включая пользовательские из них) не может требовать AuthnStatements, но наиболее типичный профиль SAML для веб единого входа (и тот, вы, скорее всего, говорите) требует от него как инициализированного потока SP, так и IDP.
А ваш второй вопрос - носитель утверждение такое утверждение, которое использует носителя при условии подтверждения.
подтверждения Темы является частью информации, которая помогает получателю утверждения (полагающаяся стороне/поставщику услуг) убедитесь, что ведущий утверждения (удостоверяя сторону - например, браузер или клиент API, ...) связан с его субъект (о котором было опубликовано утверждение) и уполномочен представить утверждение от имени субъекта (чтобы убедиться, что кто-то не может использовать утверждение, выданное кому-то другому, без чужого разрешения). Подтверждение объекта на предъявителя просто означает, что ведущий утверждения является тем же самым, что и субъект.
В SAML мало что необходимо. В соответствии с SAML AuthnStatement не является обязательным в любом утверждении. Вероятно, это связано с определенным программным обеспечением, которое вы используете. Если оно является обязательным для Assertions в потоке SP инициализации я предполагаю, что это является обязательным в IDP инициализации потока в
Без использования AuthnStatement, как можно полагать, что пользователь может установить действительный сеанс со стороны SP? – mavis
Из спецификации «Утверждение без операторов ДОЛЖНО содержать элемент. Такое утверждение идентифицирует принципал таким образом, который может быть подтвержден или подтвержден с использованием методов SAML, но не сообщает далее информации, связанной с этим директором». –
Но для вашего программного обеспечения, вероятно, требуется AuthnStatement –