В документе AWS IAM https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html, указано значение аудитории:
В целях безопасности AWS должен быть включен в качестве аудитории в утверждение SAML, которое IdP отправляет в AWS. В качестве значения элемента Audience укажите либо https://signin.aws.amazon.com/saml, либо urn: amazon: webservices. В следующем примере фрагментов XML из утверждений SAML показано, как этот ключ может быть указан IdP. Включите, какой бы образец не подходил для вашего варианта использования.
Но в моем тесте я обнаружил, что AWS не проверяет значение AudienceRestriction, даже если я изменяю его на «Хахаха» (изменение идентификатора зависимой стороны в ADFS), я могу войти в систему с помощью токена saml. Это проблема безопасности?
